SP135-2026; rad. 69521; CSJ – SP; M.P.: GERSON CHAVERRA CASTRO

La sentencia es profunda porque la Corte no resuelve el caso solamente desde la valoración empírica de una publicación en internet. Antes de entrar al caso concreto, hace un recorrido histórico y dogmático del delito de espionaje en Colombia para mostrar que la defensa parte de una premisa equivocada: la idea de que el espionaje actual sigue atado a la lógica clásica de la traición en tiempo de guerra o a la entrega de información a una potencia enemiga. La Sala demuestra que esa concepción quedó superada desde el Decreto Ley 100 de 1980 y se mantiene así en la Ley 599 de 2000: hoy el foco ya no está en el receptor de la información, sino en el compromiso que la obtención, empleo o revelación del secreto genera para la seguridad del Estado. Ese es uno de los aportes más importantes del fallo, porque limpia el terreno conceptual antes de valorar las pruebas.

Desde esa reconstrucción histórica, la Corte define la arquitectura típica del artículo 463 del Código Penal. Explica que se trata de un delito con sujeto activo indeterminado, de peligro presunto, con verbos rectores alternativos —obtener, emplear o revelar— y con un ingrediente normativo esencial: que el secreto político, económico o militar esté relacionado con la seguridad del Estado. La Sala resalta además que el actuar debe ser “indebido”, esto es, ilícito, irregular o subrepticio, y que la conducta es eminentemente dolosa. Ese desarrollo teórico no es un simple marco general: es la base con la que luego desmonta los dos ejes centrales de la defensa, a saber, que no se probó un destinatario específico y que la información no podía reputarse secreto militar.

A partir de allí, la Corte rechaza frontalmente la tesis según la cual el delito de espionaje exigiría demostrar que la información fue a parar a manos de un Estado enemigo. La Sala sostiene que esa exigencia no existe en la legislación vigente, y que por tanto resulta “irrelevante” discutir si el secreto tuvo o no destinatario específico, si fue efectivamente utilizado por otro Estado o si produjo un daño real consumado a la seguridad nacional. Lo jurídicamente relevante es si la conducta comprometió la seguridad del Estado. Este punto es decisivo: la sentencia afirma una lectura moderna del espionaje como delito de riesgo contra la seguridad nacional, no como una figura dependiente del contexto bélico o del aprovechamiento posterior de la información. Doctrinalmente, esta es probablemente la regla más importante del fallo.

La segunda gran discusión era si el archivo “Estaciones de trabajo Fac” podía considerarse realmente un secreto militar. La defensa sostuvo que allí solo había nombres de sistemas, direcciones IP, usuarios y tipos de sistema operativo, datos que por sí mismos no permitirían estructurar un ataque y que, además, no estaban listados en un acto administrativo como secretos. La Corte responde con una construcción muy sólida. Primero, recuerda que el derecho colombiano distingue entre información pública, información pública reservada e información clasificada, y que esas categorías también son aplicables a las Fuerzas Armadas. Segundo, conecta la Ley 1712 de 2014, la Ley 1621 de 2013 y el Decreto 857 de 2014 para concluir que toda información relacionada con la infraestructura física y tecnológica de las Fuerzas Armadas puede estar sometida a reserva legal cuando su divulgación comprometa la defensa y la seguridad nacional. Y tercero, desciende al caso concreto: el Manual de Ciberdefensa y Ciberseguridad de la FAC, adoptado mediante la Disposición 018 de 2015, identifica la infraestructura crítica y especial de esa fuerza y le da protección particular a sus activos tecnológicos y de información. Sobre esa base, la Corte concluye que cualquier dato conectado con esos activos críticos adquiere, por derivación funcional, la naturaleza de información reservada.

La respuesta de la Corte aquí es especialmente importante porque evita una comprensión formalista del secreto militar. La defensa pretendía que, al no existir un acto administrativo que enumerara exactamente “estas direcciones IP, estos nombres de usuarios y estos equipos” como secretos, entonces no podía hablarse de secreto militar. La Corte descarta esa exigencia y afirma que, bajo el principio de libertad probatoria, el carácter de secreto militar puede demostrarse a partir de las características de la información, de su relación con la infraestructura crítica y del riesgo que genera su divulgación, sin necesidad de una lista cerrada y taxativa. Esto es crucial, sobre todo en escenarios de ciberseguridad, donde la sensibilidad de los datos no depende de su etiquetado burocrático, sino de su funcionalidad estratégica.

La Corte no se queda, sin embargo, en una afirmación abstracta del carácter reservado de la información. Pasa a demostrar por qué el archivo concreto sí comprometía la seguridad nacional. Para ello se apoya en el testimonio de oficiales y expertos de la FAC que explicaron que el archivo contenía datos de radares, del Centro de Comando y Control y del oficial que remitía semanalmente la coordinación operacional de la Fuerza Aérea. Además, la “prueba de concepto” realizada por personal uniformado mostró que, con la información divulgada, pudieron acceder al correo electrónico de ese oficial, lo cual evidenciaba la utilidad ofensiva del archivo. A esto se suma un dato fáctico relevante: el documento alcanzó 14 descargas y 108 visualizaciones. La Corte interpreta este conjunto de elementos como demostración de que la divulgación no fue inocua, sino que sí generó un riesgo concreto para la infraestructura de defensa aérea y, por extensión, para la seguridad del Estado. La decisión, por tanto, no se contenta con un riesgo hipotético en abstracto; aunque el tipo sea de peligro presunto, la Sala muestra que en el caso sí hubo exposición real.

En cuanto a la autoría, la sentencia también desarrolla un razonamiento probatorio cuidadoso. No basta con afirmar que el archivo existió o que era sensible. La Corte reconstruye cómo se llega a Luengas Calle como autor de la publicación: el archivo apareció en Scribd y EDOC desde un usuario llamado “Alberto Calle”; la imagen del perfil coincidía con el procesado; el documento correspondía exactamente a la información que él manejaba en desarrollo del contrato; el computador de trabajo asignado exclusivamente a él arrojó rastros de navegación compatibles con la publicación; desde ese mismo equipo se hicieron búsquedas sobre cómo eliminar documentos de esas plataformas; el equipo no presentaba malware; y, además, el propio acusado admitió ser autor del archivo y usuario activo de Scribd. La Sala considera que esta convergencia de datos excluye la hipótesis defensiva de un tercero desconocido que habría ingresado al equipo para publicar el archivo. En ese punto, la sentencia no se apoya en una única inferencia, sino en una pluralidad de indicios convergentes.

Sobre el dolo, la Corte también profundiza. No lo presume simplemente por el hecho de haber publicado el archivo. Lo construye a partir de varios elementos: la cláusula de confidencialidad contenida en el contrato laboral y en su anexo; la experiencia profesional del acusado en soporte y seguridad informática; su conocimiento de que trabajaba con información crítica de una institución militar; y el hecho de que la publicación en Scribd y EDOC requería varios pasos sucesivos y deliberados. La conclusión es que Luengas Calle sabía que no podía divulgar esa información y conocía el potencial lesivo que ello representaba para la seguridad del Estado, pero quiso el resultado y ejecutó la conducta. Así, la Corte no ve un error, una negligencia o un acto casual, sino una revelación indebida y dolosa.

La relevancia de la ratio decidendi es alta. En el plano dogmático, la sentencia fija una regla clara sobre el delito de espionaje en Colombia: no exige destinatario específico, no exige estado de guerra, no exige que el secreto termine en manos de una potencia enemiga y no exige daño consumado; basta la revelación indebida de un secreto político, económico o militar que comprometa la seguridad del Estado. En el plano probatorio, aclara que el carácter de secreto militar no depende exclusivamente de una declaratoria formal individualizada, sino que puede inferirse válidamente de la relación funcional de la información con la infraestructura crítica de una fuerza militar y del riesgo que su exposición genera. En el plano práctico, la decisión tiene enorme importancia para casos de tercerización tecnológica y manejo de información sensible por contratistas privados: recuerda que el acceso legítimo a la información estatal no habilita su divulgación y que la externalización de servicios no diluye la tutela penal sobre la seguridad nacional.

En suma, la sentencia SP135-2026 no es una simple confirmación de condena. Es una providencia de alcance doctrinal relevante porque adapta la comprensión clásica del espionaje a escenarios contemporáneos de ciberseguridad, precisa cómo se configura el “secreto militar” en entornos digitales y reafirma que la seguridad del Estado puede verse comprometida no solo por la entrega de información a enemigos externos, sino por la exposición global de datos sensibles en plataformas de acceso abierto. Ese es, a mi juicio, el verdadero corazón del fallo.

SP135-2026