En la nueva era digital, en la que cada minuto cuenta y cada dato importa, la ciberseguridad se ha convertido en un asunto de Estado. Colombia, como otros países latinoamericanos, enfrenta un dilema urgente: ¿puede el derecho seguirles el paso a las amenazas tecnológicas que evolucionan a velocidad vertiginosa?

En 2025, el país enfrenta una encrucijada legal. Por un lado, avanza en su Estrategia Nacional de Ciberseguridad; por otro lado, persisten vacíos normativos y desafíos estructurales que dificultan una respuesta jurídica y operativa eficaz ante los crecientes ataques cibernéticos. La pregunta de fondo es clara: ¿está Colombia legalmente preparada para lo que viene?

Para Juan Sebastián Gómez, asociado de Philippi Prietocarrizosa Ferrero DU & Uría (PPU), Colombia necesita crear mayor conciencia sobre las ciberamenazas y los riesgos que un ataque o incidente cibernético puede suponer para las empresas y la estabilidad económica del país. El experto asegura que la complejidad de los constantes ataques de ciberseguridad y su enorme impacto han hecho que se tengan que asignar nuevos recursos para la protección ante este riesgo. “Estos incidentes pueden afectar la continuidad de la actividad económica y los emprendimientos empresariales, generar pérdidas financieras, debilitar la confianza de los ciudadanos en los servicios digitales e, inclusive, ocasionar daños significativos a la economía y a la sociedad, como ya se ha visto”, dice Gómez.

Juan Sebastián Gómez, Asociado de PPU | Foto: Cortesía

Por su parte, Juanita Acosta, socia de Dentons Cárdenas & Cárdenas, afirma que la brecha entre el desarrollo tecnológico y la regulación se amplía cada vez más debido a que la tecnología avanza a un ritmo global, mientras que la legislación está sujeta a limitaciones de carácter local. Esta disparidad reduce la capacidad de respuesta frente a los vacíos normativos que surgen con los nuevos escenarios habilitados por la tecnología.

Acosta menciona que “un ejemplo claro es la irrupción de la inteligencia artificial generativa, que en pocos meses produjo debates complejos sobre la autoría de obras creadas con IA, al tiempo que facilitó la proliferación de nuevos tipos de ciberataques y mecanismos de desinformación, como los deepfakes”. Actualmente, Colombia tiene instrumentos normativos, como la Ley 1581 de 2012 (protección de datos personales), la Ley 1273 de 2009 (delitos informáticos) y la Política Nacional de Ciberseguridad (Conpes 4042 de 2021). Sin embargo, estos marcos están siendo exigidos al máximo para responder a desafíos que no fueron previstos en su momento, lo que revela la necesidad de contar con reglas más actualizadas y eficaces.

Juanita Acosta, socia de Dentons Cárdenas & Cárdenas | Foto: Cortesía

Carolina Pardo, socia de Competencia y Antimonopolio en Baker McKenzie, destaca que el problema de ciberseguridad trasciende fronteras. “Alinear iniciativas regulatorias podría fortalecer la posibilidad de combatir eficientemente estas amenazas. No creo que la cooperación internacional vulnere derechos ni reduzca la autonomía regulatoria si se hace bajo un marco de principios de protección a los derechos de las personas e intereses recíprocos”.

Por debajo del promedio

Según el Índice Global de Ciberseguridad 2024 de la UIT (Unión Internacional de Telecomunicaciones), Colombia está en el nivel tres de desarrollo en ciberseguridad, ligeramente por debajo del promedio regional. “Esto refleja un nivel aún insuficiente frente a los desafíos actuales. Este rezago limita la autonomía del país al depender en gran medida de los avances regulatorios de otras jurisdicciones. Si bien adoptar buenas prácticas internacionales es positivo, es necesario invertir más en comprender la realidad local para adaptar adecuadamente los estándares globales”, dice Acosta, de Dentons Cárdenas & Cárdenas.

Uno de los vacíos más urgentes en la normativa colombiana se refiere a la regulación de la notificación y gestión de incidentes de ciberseguridad. “Hoy la actuación de la autoridad, particularmente la Superintendencia de Industria y Comercio, puede generar un incentivo perverso: en lugar de fomentar la cooperación y respuesta temprana, la notificación de un incidente puede activar indagaciones e investigaciones de naturaleza sancionatoria antes que medidas de mitigación”, dice José Miguel de la Calle, socio de Garrigues. Esto desalienta a las organizaciones a reportar oportunamente por temor a sanciones o reproches.

José Miguel de la Calle, socio de Garrigues | Foto: Cortesía

Para fortalecer la cooperación público-privada y la capacidad de respuesta ante ciberataques, comenta De la Calle, es necesario replantear ese enfoque. La normativa debería crear incentivos claros que promuevan la transparencia en el intercambio de información, sin temor a consecuencias adversas, y que prioricen la contención del riesgo y la recuperación operativa.