Delitos cibernéticos en Brasil: las leyes y qué hacer cuando su empresa es víctima

Respuesta directa

Brasil tipifica los delitos cibernéticos mediante el art. 154-A del Código Penal (incorporado por la Ley 12.737/2012), que castiga la intrusión en dispositivos con hasta 4 años de reclusión, agravada por la Ley 14.155/2021, que además creó la estafa electrónica (art. 171, §2º-A) y el hurto mediante fraude electrónico (art. 155, §4º-B), elevando las penas hasta 8 años. Las empresas víctimas deben preservar pruebas, registrar la denuncia policial y, si hay datos personales expuestos, notificar a la ANPD.

Puntos clave

  • La Ley Carolina Dieckmann (Ley 12.737/2012) incorporó el art. 154-A al Código Penal y fue el primer marco específico contra la intrusión en dispositivos informáticos en Brasil.
  • La Ley 14.155/2021 elevó las penas del art. 154-A hasta 4 años, creó la estafa electrónica (art. 171, §2º-A, pena de 4 a 8 años) y el hurto calificado mediante fraude electrónico (art. 155, §4º-B, pena de 4 a 8 años).
  • El Marco Civil de Internet (Ley 12.965/2014) regula la responsabilidad de los proveedores y exige la conservación de registros de acceso durante 1 año, siendo una herramienta esencial para el requerimiento judicial de datos.
  • La LGPD (Ley 13.709/2018) obliga al controlador de datos a comunicar los incidentes con riesgo relevante a la ANPD y a los titulares afectados, en un plazo de hasta 72 horas tras tener conocimiento del evento.
  • La preservación inmediata de evidencias digitales — registros, capturas con hash, imágenes forenses — es decisiva para el éxito de acciones penales y civiles; las evidencias recolectadas sin cadena de custodia pueden ser inadmitidas.
  • Las Comisarías Especializadas en Delitos Cibernéticos (como la DRCI/SP, el NUCIBER/RS y otras) y la comisaría electrónica estatal permiten registrar la denuncia en línea, facilitando la formalización del delito con fines procesales.

Qué dice la Ley Carolina Dieckmann (Ley 12.737/2012)

La Ley 12.737, del 30 de noviembre de 2012, popularmente llamada Ley Carolina Dieckmann, incorporó al Código Penal brasileño el art. 154-A, que tipifica la conducta de invadir un dispositivo informático ajeno, conectado o no a la red de computadoras, mediante la violación indebida de un mecanismo de seguridad, con el fin de obtener, alterar o destruir datos, o instalar vulnerabilidades. En su redacción original, la pena era de 3 meses a 1 año de detención, además de multa.

La ley fue un avance importante porque, hasta su promulgación, conductas como el acceso indebido a correos electrónicos y la clonación de perfiles se encuadraban de forma precaria en tipos penales como la violación de correspondencia o el daño. Con la ley, quedó claro que el dispositivo informático — computadora, tableta, teléfono inteligente — es un patrimonio jurídico protegido. El art. 154-B establece la acción penal como pública condicionada a la representación, salvo cuando el delito se comete contra la Administración Pública, una empresa concesionaria de servicios públicos o contra una institución financiera.

Los cambios introducidos por la Ley 14.155/2021 y los nuevos tipos penales

La Ley 14.155, del 27 de mayo de 2021, promovió la reforma más significativa del derecho penal cibernético brasileño desde 2012. En el art. 154-A, la pena por intrusión en dispositivos informáticos se elevó a reclusión de 1 a 4 años, y las causas de aumento pasaron a contemplar la divulgación, comercialización o transmisión de los datos obtenidos a terceros. Cuando la intrusión resulta en perjuicio económico, el aumento es de 1/3 al doble de la pena.

La ley también creó la estafa electrónica, incorporando el §2º-A al art. 171 del Código Penal, que califica la estafa cometida mediante el uso de redes sociales, contactos realizados por teléfono o el envío de correo electrónico, con pena de 4 a 8 años de reclusión, más multa. Además, el art. 155 pasó a contar con el §4º-B, que tipifica el hurto calificado mediante fraude electrónico — golpes que comprometen cuentas bancarias y billeteras digitales por medio de malware, phishing o acceso remoto no autorizado —, con el mismo rango de pena de 4 a 8 años.

El rigor de las penas refleja la realidad: Brasil es uno de los países con mayor volumen de ataques financieros digitales del mundo. Las nuevas calificantes no solo aumentan la sanción esperada, sino que también permiten que el investigado responda en prisión durante la instrucción penal si se cumplen los requisitos del art. 312 del CPP, algo inviable con las penas anteriores por debajo de 4 años.

El Marco Civil de Internet y la importancia de los registros para las investigaciones

La Ley 12.965/2014, conocida como Marco Civil de Internet, establece principios, garantías, derechos y deberes para el uso de internet en Brasil. Desde el punto de vista forense, su disposición más relevante para las empresas víctimas de delitos cibernéticos es la obligación de conservar registros: los proveedores de conexión deben mantener los registros de conexión durante 1 año; los proveedores de aplicaciones, durante 6 meses. Estos datos pueden ser requeridos por la autoridad judicial para identificar al agresor.

Para la empresa víctima, el Marco Civil es una herramienta de acceso a evidencias que están bajo control de terceros — alojamiento, ISP, plataformas de correo electrónico — por medio de una orden judicial. El art. 22 permite al perjudicado solicitar al juez la producción anticipada de pruebas para recolectar esa información antes de que expire el plazo de conservación. Esto convierte la celeridad en la formalización de la denuncia en un factor crítico: esperar semanas puede resultar en la pérdida irreversible de los registros que identificarían al autor del ataque.

La LGPD y las obligaciones de la empresa víctima de una filtración de datos

La Ley General de Protección de Datos (Ley 13.709/2018) impone al controlador — la empresa que decide cómo y por qué se tratan los datos personales — la obligación de comunicar a la Autoridad Nacional de Protección de Datos (ANPD) y a los titulares afectados cualquier incidente de seguridad que pueda ocasionar un riesgo o daño relevante. La Resolución CD/ANPD n.º 15/2024 establece que esa comunicación debe realizarse en un plazo de hasta 72 horas tras tener conocimiento del incidente.

Lo que configura 'riesgo o daño relevante' incluye datos de salud, financieros, credenciales de acceso, datos de niños y adolescentes, o cualquier conjunto de datos cuya exposición pueda generar discriminación, fraude, daño a la reputación o perjuicio financiero al titular. La comunicación debe describir la naturaleza de los datos afectados, el número aproximado de titulares involucrados, las medidas adoptadas para mitigar los daños y los canales de contacto del encargado (DPO). El incumplimiento de la obligación de comunicación puede resultar en una multa de hasta el 2% de la facturación de la empresa en Brasil, limitada a R$ 50 millones por infracción.

Es importante destacar que la LGPD y la legislación penal son caminos paralelos y no excluyentes. Una empresa puede simultáneamente registrar la denuncia policial por el delito de intrusión en dispositivos (esfera penal), activar el plan de respuesta a incidentes, notificar a la ANPD (esfera administrativa) y ejercer una acción indemnizatoria contra el agresor (esfera civil), además de activar el seguro cibernético, si lo hubiera.

Cómo preservar pruebas digitales con validez jurídica

La cadena de custodia es el conjunto de procedimientos que garantiza la integridad y la autenticidad de una prueba digital desde su recolección hasta su presentación en juicio. En Brasil, el art. 158-A del Código de Proceso Penal, incorporado por la Ley 13.964/2019 (Paquete Anticrimen), consagró la cadena de custodia como requisito formal, haciendo explícita la necesidad de documentar cada etapa de manipulación del vestigio. Las pruebas recolectadas sin esos procedimientos corren el riesgo de ser impugnadas o descartadas.

En la práctica, la preservación comienza con el aislamiento inmediato del sistema comprometido — desconectarlo de la red, sin apagar el equipo si hay evidencias volátiles en la memoria RAM. Luego se realiza la adquisición forense: una copia bit a bit del dispositivo con herramientas certificadas (como FTK Imager o dd con verificación de hash), generando un archivo inmutable. El hash criptográfico (SHA-256 o MD5) de cada archivo recolectado debe calcularse y registrarse de inmediato, sirviendo como huella digital de la evidencia. Las capturas de pantalla deben ir acompañadas de metadatos: fecha, hora (en UTC), nombre del sistema operativo y versión del navegador.

El informe pericial, elaborado por un profesional habilitado, documenta la metodología, las herramientas utilizadas, el hash de las evidencias y las conclusiones técnicas. Ese documento es lo que efectivamente sustenta la investigación policial y la eventual acción penal. La ausencia de un perito forense experimentado en la fase inicial del incidente es uno de los errores más comunes que comprometen la viabilidad de los procesos penales posteriores.

Dónde y cómo denunciar: comisarías especializadas y canales electrónicos

El registro de la denuncia policial es el acto formal que da inicio a la persecución penal y es un requisito procesal para que el Ministerio Público pueda presentar la acusación en los delitos de acción pública condicionada a la representación, como la intrusión en dispositivos del art. 154-A. Debe hacerse cuanto antes, pues preserva la fecha del conocimiento del delito e inicia el plazo para el requerimiento judicial de registros.

La mayoría de los estados brasileños cuenta con comisarías especializadas en delitos cibernéticos: la DRCI (Comisaría de Represión de Delitos Informáticos) en São Paulo, el NUCIBER (Núcleo de Combate a los Ciberdelitos) en Paraná, la DRCC (Comisaría de Represión de Delitos contra el Orden Tributario, Económico y contra las Relaciones de Consumo) en Minas Gerais, y estructuras equivalentes en los demás estados. Estas unidades cuentan con peritos capacitados para recibir y analizar evidencias digitales correctamente.

Para los registros electrónicos, cada estado dispone de una comisaría en línea — en São Paulo es el sitio delegaciaeletronica.policiacivil.sp.gov.br; en Río de Janeiro, ddionline.pcerj.rj.gov.br. En el ámbito federal, los delitos que involucren sistemas de la Unión, redes bancarias a gran escala o crimen organizado transnacional pueden reportarse a la Policía Federal, que cuenta con la Unidad de Combate a Delitos Cibernéticos (CIPOC). Paralelamente, el Centro de Estudios, Respuesta y Tratamiento de Incidentes de Seguridad en Brasil (CERT.br), mantenido por el NIC.br, acepta notificaciones de incidentes y ayuda en la coordinación de la respuesta, especialmente cuando hay abuso de infraestructura de terceros.

Cómo cumplir

  1. 1

    Contenga el incidente sin destruir evidencias

    Aísle de inmediato el sistema comprometido de la red, pero no lo apague si hay procesos activos en la memoria RAM que puedan contener artefactos forenses relevantes (credenciales, claves de cifrado, conexiones activas). Documente el estado del sistema con fotos de la pantalla y capturas con hash antes de cualquier intervención.

  2. 2

    Active al equipo de respuesta a incidentes y preserve los registros

    Notifique de inmediato al equipo interno de seguridad o a un socio especializado (como Decripte). Recolecte y almacene los registros de firewall, SIEM, servidores de correo electrónico y endpoints con marca de tiempo (timestamp UTC). Calcule el hash SHA-256 de cada archivo de registro recolectado y regístrelo en un documento firmado.

  3. 3

    Realice la adquisición forense con cadena de custodia

    Produzca copias bit a bit de los dispositivos involucrados usando herramientas forenses certificadas. Cada imagen debe tener su hash verificado y registrado en un formulario de cadena de custodia (art. 158-A del CPP). Almacene las evidencias originales en un medio inmutable, sellado, con control de acceso y registro de quién las manipuló.

  4. 4

    Registre la denuncia policial en la comisaría especializada

    Preséntese en la comisaría de delitos cibernéticos de su estado (o use la comisaría electrónica estatal) lo antes posible. Lleve capturas, hashes, un informe preliminar del incidente y, de ser posible, el informe forense inicial. La denuncia abre la persecución penal y permite a la policía requerir judicialmente los registros de los proveedores antes de que expiren.

  5. 5

    Evalúe la obligación de notificar a la ANPD y a los titulares

    Verifique si el incidente involucró datos personales. En caso afirmativo, evalúe el riesgo o daño potencial a los titulares. Si hay riesgo relevante, la empresa tiene hasta 72 horas para comunicarlo a la ANPD (mediante el formulario en el portal anpd.gov.br) y notificar a los titulares afectados, conforme a la Resolución CD/ANPD n.º 15/2024. Documente el fundamento de la evaluación de riesgo.

  6. 6

    Reúna evidencias para la acción civil indemnizatoria

    Además de la esfera penal, el perjudicado puede ejercer una acción de indemnización por daños materiales y morales contra el agresor. Para ello, produzca con apoyo jurídico un memorial de cálculo de los perjuicios: horas de indisponibilidad, costo de remediación, ingresos perdidos, daños reputacionales y costos de notificación. El informe forense con cadena de custodia sirve como prueba en todas las esferas.

  7. 7

    Active el plan de recuperación y documente las lecciones aprendidas

    Tras la contención y la formalización legal, restaure los sistemas a partir de respaldos verificados, aplique los parches correspondientes a la vulnerabilidad explotada y revise los controles de acceso. Produzca un informe post-incidente que documente la causa raíz, la línea de tiempo, el impacto y las mejoras implementadas. Ese documento reduce riesgos futuros y demuestra a la ANPD y a eventuales auditores la madurez del programa de seguridad.

Preguntas frecuentes

¿Cuál es la diferencia entre la Ley Carolina Dieckmann y la Ley 14.155/2021?

La Ley 12.737/2012 (Carolina Dieckmann) creó el delito de intrusión en dispositivos informáticos en el art. 154-A del Código Penal, con una pena original de 3 meses a 1 año de detención. La Ley 14.155/2021 reformó ese artículo, elevando la pena a reclusión de 1 a 4 años, y agregó dos nuevos tipos calificados: la estafa electrónica (art. 171, §2º-A, pena de 4 a 8 años) y el hurto mediante fraude electrónico (art. 155, §4º-B, pena de 4 a 8 años). La ley de 2021 representa un endurecimiento significativo de la respuesta penal a los delitos financieros digitales.

¿Una empresa que sufrió un ataque de ransomware está obligada a notificar a la ANPD?

Depende. La obligación de notificación a la ANPD surge cuando el incidente puede ocasionar un riesgo o daño relevante a los titulares de datos personales afectados, conforme a la Resolución CD/ANPD n.º 15/2024. Un ransomware que cifró datos sin exfiltración comprobada puede evaluarse como un riesgo menor, mientras que un ataque con exfiltración confirmada de datos financieros, de salud o de niños genera una obligación inequívoca de comunicación en un plazo de hasta 72 horas tras tener conocimiento del incidente. La empresa debe documentar el razonamiento de la evaluación de riesgo en ambos casos.

¿En qué delito se encuadra el phishing que captura contraseñas bancarias?

El phishing bancario puede configurar simultáneamente múltiples delitos: intrusión en dispositivos (art. 154-A del CP, si hay acceso no autorizado al sistema bancario o al dispositivo de la víctima), estafa electrónica (art. 171, §2º-A, por la inducción a error mediante un mensaje electrónico) y hurto calificado mediante fraude electrónico (art. 155, §4º-B, si resulta en una transferencia patrimonial de la cuenta de la víctima). El encuadre definitivo depende de las circunstancias fácticas y del análisis del Ministerio Público.

¿Las pruebas digitales recolectadas por la propia empresa tienen valor en juicio?

Sí, siempre que se recolecten con una metodología forense adecuada y documentación de cadena de custodia. El art. 158-A del CPP establece requisitos formales para la cadena de custodia. Las evidencias recolectadas de forma desordenada — sin hash, sin registro de quién las manipuló, sin fecha y hora verificables — pueden ser impugnadas por la defensa. Por eso se recomienda involucrar cuanto antes a un perito forense independiente, pues el informe que él elabora tiene presunción técnica de idoneidad y mayor poder persuasivo ante el juzgado.

¿Cuál es el plazo para registrar la denuncia y no perder los registros de los proveedores?

El Marco Civil de Internet (Ley 12.965/2014) obliga a los proveedores de conexión a conservar los registros durante 1 año y a los proveedores de aplicaciones durante 6 meses. Esos plazos comienzan a contar a partir del registro del acceso, no de la fecha del delito. En la práctica, los registros de un ataque ocurrido hace 5 meses en un proveedor de aplicaciones pueden ya haber sido eliminados. Registrar la denuncia y pedir a la comisaría que requiera los datos judicialmente lo más rápido posible — idealmente en un plazo de hasta 30 días — aumenta significativamente la probabilidad de obtener las evidencias necesarias.

¿Qué sucede si la empresa no cumple el plazo de 72 horas para notificar a la ANPD?

El incumplimiento del plazo de comunicación es una infracción autónoma a la LGPD, sujeta a las sanciones del art. 52, que incluyen advertencia, multa simple de hasta el 2% de la facturación bruta de la empresa en Brasil en el último ejercicio (limitada a R$ 50 millones por infracción) y publicidad de la infracción. La ANPD puede aplicar sanciones acumulativas. Además, la omisión en la comunicación puede agravar la responsabilidad civil de la empresa frente a los titulares afectados, pues demuestra descuido en el cumplimiento de las obligaciones legales de protección de datos.

Fuentes

Decripte implementa el cumplimiento — sin que montes un equipo interno.

Diagnóstico de adecuación, controles técnicos auditables, pentest y documentación para el regulador/auditor. O empieza gratis viendo lo que ya está expuesto.