Universidad Tecnológica Indoamérica, Ambato, Ecuador

odelavega@indoamerica.edu.ec

https://orcid.org/0009-0007-7033-0442

El presente artículo tiene como objetivo analizar los vacíos normativos que limitan la protección

penal frente al delito de ransomware en Ecuador, a través de una comparación con la legislación

penal peruana, con el fin de evaluar cuál de los dos marcos normativos ofrece una mejor respuesta

jurídica ante esta amenaza digital. La problemática surge ante el aumento de ataques informáticos

mediante software malicioso que encripta información y restringe el acceso a sistemas, afectando

gravemente la seguridad de datos tanto públicos como privados. En Ecuador, el artículo 232 del

Código Orgánico Integral Penal (COIP) tipifica el ataque a la integridad de sistemas informáticos,

mientras que, en Perú, el artículo 4 de la Ley N.º 30096 contempla una figura similar bajo el delito

adhesión al Convenio de Budapest. Se concluye que el COIP brinda una mejor protección penal

sustantiva, aunque Ecuador requiere avanzar en cooperación internacional y armonización

normativa. Se recomienda tipificar el ransomware como delito autónomo y ratificar el Convenio

de Budapest para una protección integral.

Palabras clave: seguridad digital, legislación comparada, delitos informáticos, Derecho penal,

ransomware

This article aims to analyze the legal gaps that limit criminal protection against ransomware attacks

in Ecuador by comparing Ecuadorian law with Peruvian criminal legislation, to assess which legal

a descriptive and analytical approach, based on a doctrinal analysis of the relevant legal provisions

and a review of scholarly literature, legal regulations, and case law. The main findings reveal that

Ecuadorian legislation offers a broader definition of the offense, allowing for the prosecution of

both the execution and preparatory stages of ransomware attacks, thus providing an advantage over

Peruvian law. However, Peru strengthens its legal framework by adhering to the Budapest

Convention. The conclusion is that the Ecuadorian Comprehensive Organic Penal Code

(COIP).provides better substantive criminal protection, although Ecuador needs to improve its

international cooperation and regulatory harmonization. It is recommended that Ecuador

Entre las amenazas digitales más frecuentes y peligrosas que han emergido con el avance de las

un rescate económico generalmente en criptomonedas para devolver el acceso a la información

dentro del ecosistema delictivo digital, empleando técnicas como la ingeniería social y el phishing,

sino que constituye un modus operandi comprendido dentro del tipo penal previsto en el artículo

Código Orgánico Integral Penal (COIP, 2014), que sanciona:

El ataque a la integridad de sistemas informáticos. Esta norma castiga con pena privativa

de libertad de tres a cinco años a quien destruya, dañe, borre, deteriore, altere, suspenda,

trabe o cause mal funcionamiento o comportamiento no deseado en sistemas de tratamiento

de información. (art. 232)

También sanciona a quien desarrolle, distribuya o utilice programas informáticos maliciosos

destinados a causar tales efectos. Si estos ataques afectan infraestructura crítica o servicios

públicos, la pena se agrava hasta siete años.

A nivel regional, Perú ha adoptado medidas en la lucha contra la ciberdelincuencia mediante la

amenazas.

En este contexto, el presente artículo académico tiene como finalidad analizar el fenómeno del

ransomware como modus operandi dentro del delito de ataque a la integridad de sistemas

informáticos en el ordenamiento jurídico ecuatoriano, contrastándolo con la legislación peruana

en materia de delitos informáticos. La investigación se orienta a examinar críticamente la

capacidad de respuesta del marco legal ecuatoriano frente a este tipo de conductas, considerando

la creciente sofisticación de las amenazas digitales. Asimismo, se cuestiona la suficiencia de las

disposiciones actuales para enfrentar ataques que afectan principalmente a personas jurídicas,

como empresas, bancos e instituciones públicas, generando consecuencias económicas,

reputacionales y operativas de gran magnitud.

El ransomware es un tipo de programa malicioso que bloquea el acceso a los archivos o al sistema

de una computadora y exige un pago, generalmente en criptomonedas, para recuperarlos. Su

objetivo principal es extorsionar a la víctima a cambio de devolverle el control sobre su

información. (Ávila, 2021). El término ransomware proviene del idioma inglés y está formado por

solicitando una suma de dinero para recuperar la información cifrada” (p. 40). Esta

definición permite comprender cómo el ransomware no solo representa un desafío desde el punto

de vista tecnológico, sino también desde el jurídico, ya que su sofisticación convierte a estos

ataques en verdaderos instrumentos de coacción digital. Lo relevante no es únicamente la

capacidad del software malicioso para cifrar datos, sino el trasfondo extorsivo que plantea nuevas

formas de criminalidad digital. Este tipo de amenazas transforma la estructura clásica del delito

patrimonial, adaptándola a entornos virtuales donde el control sobre la información es el bien

jurídico vulnerado.

Por su parte, Trigo et al. (2017) definen el malware como un conjunto de programas diseñados

para dañar o infiltrarse en un sistema informático sin el consentimiento del usuario. Aunque

conferencia sobre el SIDA y cifraba únicamente los nombres de los archivos, exigiendo un pago a

una cuenta en Panamá para su desbloqueo (Moreno et al., 2020). Aunque en ese entonces se

utilizaban algoritmos de cifrado simétricos, su vulnerabilidad los hacía poco eficaces para los

ciberdelincuentes, hasta que en 2005 en Rusia comenzaron a emplear algoritmos asimétricos más

complejos, marcando un punto de inflexión en la evolución del ransomware.

Estrada (2018) propone que esta evolución puede dividirse en dos grandes etapas: la primera,

en la que el ransomware bloqueaba el acceso al sistema operativo hasta que se pagaba un rescate

vía SMS; y la segunda, caracterizada por el cifrado de archivos y la exigencia de pagos mediante

todos tienen en común el aprovechamiento de las vulnerabilidades humanas y técnicas. Uno de los

mecanismos más frecuentes es la ingeniería social, mediante la cual los ciberdelincuentes engañan

a los usuarios para que ejecuten acciones que comprometan sus sistemas, como descargar archivos

maliciosos o acceder a enlaces engañosos. El correo electrónico es una de las vías más comunes,

ya que los atacantes suelen enviar mensajes que aparentan ser confiables, como facturas,

notificaciones legales o promociones falsas, con archivos adjuntos o enlaces que contienen el

malware (Moreno et al., 2020; Trigo et al., 2017).

Otro método es la redirección de tráfico, donde el usuario es llevado a sitios web fraudulentos

frecuentemente disfrazados de páginas de juegos o software gratuito desde sitios como páginas

pornográficas. Al descargar lo que parece ser un programa legítimo, se instala en segundo plano

middle pueden interceptar la información y manipularla para introducir el ransomware en el

sistema de destino (Trigo et al., 2017). Finalmente, también se ha popularizado el modelo

Ransomware as a Service (RaaS), donde incluso personas sin conocimientos técnicos pueden

lanzar ataques contratando servicios de ransomware en la nube, lo que amplía significativamente

el alcance de esta amenaza.

El ransomware se propaga mediante una combinación de engaños, explotación de

vulnerabilidades en sistemas operativos y redes. En un entorno digital cada vez más

interconectado, esta amenaza ha dejado de ser marginal para convertirse en una de las más

información que tiene efectos jurídicos. Las consecuencias más comunes de un ataque de

ransomware incluyen la pérdida temporal o permanente de información, la interrupción de

servicios esenciales y fuertes pérdidas económicas derivadas de la restauración del sistema

comprometido.

Como lo menciona Moreno et al. (2020), “el secuestro de los datos o pérdida de información

pueden causar una falla de seguridad informática, generando problemas en la integridad y

disponibilidad de los datos que pueden implicar sustanciales perjuicios a cualquier organización”

(p. 42). Desde una perspectiva jurídica, esta afectación puede también ser comprendida dentro del

delito de daño. Según Palazzi (2000), no se requiere que el bien, en este caso, los datos o sistemas

quede totalmente destruido o inutilizado para que el delito se configure; basta con que su

La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal

telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen, será

sancionada con pena privativa de libertad de tres a cinco años. (art. 232).

suspender, trabar, causar mal funcionamiento, entre otros. Esta diversidad de verbos permite

abarcar una gama amplia de conductas nocivas sobre el entorno digital.

Como sostiene Barbosa (citado en Rosero, 2021), el verbo rector es el núcleo del delito; es el

comportamiento humano con la cual se lesiona el derecho de otra persona. En este sentido, el

artículo 232 incorpora una enumeración exhaustiva de acciones típicas, lo cual permite capturar

jurídicamente diversas formas de ejecución tecnológica, como aquellas empleadas por programas

tipo ransomware, que al cifrar archivos y bloquear sistemas, provocan un “comportamiento no

deseado”, “mal funcionamiento” o incluso la “supresión” de datos informáticos.

Esta característica del tipo penal permite aplicar una interpretación conforme a su naturaleza

literal, tal como dispone el artículo 13 del COIP respecto a la interpretación en materia penal, la

maliciosos o programas destinados a causar los efectos señalados en el primer inciso de este

artículo” (COIP, 2014)

Estas conductas constituyen una tipificación anticipada del injusto, en donde el legislador penal

busca sancionar la creación y circulación de herramientas diseñadas para dañar sistemas. En este

ámbito se inscriben los desarrolladores de ransomware, quienes elaboran software con la finalidad

de cifrar información de terceros, ocasionando su inaccesibilidad.

Este enfoque legislativo reconoce una tendencia moderna en derecho penal: la intervención

punitiva sobre las fases previas del delito, especialmente en materia informática, donde la

232 cumple una función doble: sanciona la consumación del ataque y, al mismo tiempo, penaliza

su estructuración técnica y logística, incluso antes de que se materialice el daño.

Este tipo penal en cuestión tiene como objeto de tutela la integridad de los sistemas de

información y comunicación, lo cual incluye su estructura operativa, lógica y funcional. De

acuerdo con Carrión (2020), el bien jurídico protegido a que se refiere el contenido de cada tipo

penal es el elemento o aspecto que en la codificación moderna sirve para agrupar los delitos. Así,

el artículo 232 se ubica dentro del título dedicado a los delitos contra la seguridad de los sistemas

informáticos, protegiendo bienes como la disponibilidad, integridad y confiabilidad de datos

digitales.

En el caso del ransomware, al cifrar archivos y alterar la capacidad operativa del sistema, se

cual lo diferencia de los delitos patrimoniales clásicos. En este contexto, el derecho penal

informático evoluciona hacia la tutela de nuevos bienes jurídicos digitales, producto de la

transformación tecnológica y de las necesidades actuales del Estado y la sociedad.

El artículo 232 también contempla un agravante cualificado cuando el ataque recae sobre bienes

informáticos destinados a la prestación de un servicio público o vinculados con la seguridad

ciudadana: “Si la infracción se comete sobre bienes informáticos destinados a la prestación de un

servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a siete años de

privación de libertad.” (COIP, 2014)

adopción de políticas públicas especializadas en materia de ciberseguridad. Finalmente, una

propuesta de mejora legislativa debería incluir, en ambos países, el fortalecimiento de capacidades

técnicas investigativas, la articulación con agencias internacionales de cooperación y el desarrollo

de una estrategia penal integral frente al cibercrimen contemporáneo.

Diversos autores han contribuido a la comprensión jurídica del ransomware desde diferentes

del tipo penal previsto en el artículo 232 del COIP. Barbosa señala que el verbo rector es el eje del

delito, pues representa el comportamiento humano que lesiona un bien jurídico. Esta afirmación

cobra especial importancia en el análisis del ransomware, ya que el artículo 232 incluye una

variedad de verbos rectores como dañar, trabar, alterar o causar mal funcionamiento, que permiten

subsumir en su contenido las conductas propias de los ataques cibernéticos mediante este tipo de

software malicioso.

Asimismo, Saltos, Robalino y Pazmiño (2021) aportan una distinción teórica relevante al

separar los delitos computacionales como formas de comisión novedosas de los delitos

informáticos como afectaciones a un nuevo bien jurídico penal: la integridad digital. Este

planteamiento justifica la necesidad de que el derecho penal reconozca nuevas esferas de tutela

estas amenazas requieren una respuesta articulada entre la política criminal y la política pública,

lo cual se traduce en normas penales más severas para ataques que comprometan la estabilidad de

funciones esenciales del Estado. Su aporte justifica jurídicamente la necesidad de distinguir el

nivel de afectación social del ransomware dependiendo del blanco del ataque.

En el contexto peruano, autores como Carrillo Díaz y Montenegro Dávila (2018) afirman que

el delito de atentado a la integridad de sistemas informáticos, previsto en la Ley N.º 30096, es un

delito común que no exige una cualidad especial en el autor. Esta idea es valiosa en el tratamiento

del ransomware, ya que facilita su persecución penal sin necesidad de probar conocimientos

técnicos especializados en el sujeto activo. El enfoque de estos autores amplía el espectro de

posibles responsables, y facilita la labor probatoria del Estado al momento de imputar

la perspectiva del daño patrimonial o técnico, sino también desde sus consecuencias sociales,

jurídicas y económicas más amplias.

Elías Puelles (2023) realiza un aporte fundamental al destacar la importancia de la adhesión al

Convenio de Budapest no como una acción formal, sino como un compromiso sustantivo que

obliga a los Estados a actualizar sus marcos legales y fortalecer su cooperación internacional en la

lucha contra el cibercrimen. Por lo cual, su análisis es especialmente valioso para el caso

ecuatoriano, donde la falta de adhesión al Convenio limita las capacidades institucionales para

actuar frente a fenómenos como el ransomware. El autor propone una interpretación activa de los

El análisis comparado del tratamiento legal del ransomware en las legislaciones penales de

Ecuador y Perú permite identificar avances y deficiencias en la respuesta jurídica frente a esta

de verbos rectores que permiten incluir dentro de su alcance conductas como el cifrado, bloqueo

anticipado, al penalizar no solo la ejecución del daño sino también actos preparatorios como la

permite sancionar el ransomware de forma indirecta, presenta limitaciones en su alcance

preventivo, al no contemplar fases preparatorias del delito ni establecer agravantes específicas

cuando los ataques afectan servicios públicos o infraestructuras críticas. No obstante, su adhesión

al Convenio de Budapest fortalece la articulación de su derecho penal con los estándares

internacionales, facilitando la cooperación entre Estados y el desarrollo progresivo de su marco

jurídico frente a los delitos informáticos.

En función de estos elementos, se concluye que, en términos de estructura normativa y

capacidad de respuesta penal inmediata, la legislación ecuatoriana brinda una mayor protección

frente al ransomware, al tipificar de forma más detallada las conductas y prever mecanismos

anticipados de sanción. Sin embargo, en lo que respecta a la cooperación internacional,

de Budapest, como medidas necesarias para cerrar los vacíos normativos y fortalecer la protección

jurídica frente a una de las amenazas digitales más graves de la actualidad.

El COIP establece una agravante cualificada (pena de 5 a 7 años) cuando los ataques afectan

sistemas vinculados a servicios públicos o seguridad ciudadana. Esta diferenciación punitiva,

ausente en la legislación peruana, refleja una política criminal más sofisticada que reconoce el

mayor impacto social de los ataques contra infraestructuras estratégicas del Estado.

Tanto Ecuador como Perú requieren avances normativos: la tipificación autónoma del

ransomware como delito específico, el fortalecimiento de capacidades técnicas investigativas y,

en el caso ecuatoriano, la adhesión urgente al Convenio de Budapest. Solo mediante una estrategia

integral que combine protección penal sustantiva, cooperación internacional y desarrollo

Alvarado, J. (2020). Coordinación de Investigación, Desarrollo Tecnológico e Investigación.

Revista Científica Artistas, 75.

Ávila Niño, F. Y. (2023). Ransomware, una amenaza latente en Latinoamérica. InterSedes,

24(49), 92-119

tecnológica y sus deficiencias legislativas en el delito de atentado a la integridad de

sistemas informáticos. Obtenido de: https://hdl.handle.net/20.500.12802/4514

Carrión, F. (02 de Septiembre de 2020). Crónica. Recuperado el 04 de Agosto de 2023, de Crónica:

https://cronica.com.ec/2020/09/02/el-bien-juridico-protegido/

Código Orgánico Integral Penal. (2014). Registro Oficial Suplemento 180 de 10 de febrero de

2014. Quito, Ecuador.

Comité de Ministros del Consejo de Europa (2001) Informe Explicativo del Convenio sobre la

Ciber-delincuencia. https://rm.coe.int/16802fa403

Huerta Morán, E. (2024). La falta de tipificación del ransomware y su incidencia en la

desprotección de la persona jurídica. [Tesis de pregrado, Universidad Nacional de

Chimborazo]. Repositorio UNACH.

Moreno, J., Rodríguez, C., & Leguias, I. (2020). Revisión sobre propagación de ransomware en

sistemas operativos Windows. I+ D Tecnológico, 16(1), 39-45.

Saltos, M., Robalino, J., & Pazmiño, L. (2021). Análisis conceptual del delito informático en

Ecuador. Scielo

Trigo, S., Castellote, M., Podestá, A., Ruiz de Angeli, G., Lamperti, S., & Constanzo, B. (2017).

Ransomware: seguridad, investigación y tareas forenses. Recuperado de:

http://redi.ufasta.edu.ar:8082/jspui/handle/123456789/1595