El Salvador ocupa hoy una posición singular en el panorama financiero internacional: es uno de los pocos países que ha construido, de forma simultánea, un marco regulatorio de fomento para los activos digitales y uno de control para prevenir su uso ilícito.

La reciente entrada en vigencia de la Ley Especial para la Prevención, Control y Sanción del Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva, aprobada mediante Decreto Legislativo No. 426, publicado en el Diario Oficial el 9 de octubre de 2025, crea un escenario normativo que coexiste con la Ley Bitcoin de 2021 y la Ley de Emisión de Activos Digitales de 2023.

Este artículo analiza los principales desafíos y obligaciones que dicho marco impone a los operadores del sector fintech y de activos digitales en materia de prevención del lavado de activos y financiamiento del terrorismo (AML/CFT).

1. Transición hacia la cultura del cumplimiento: el Enfoque Basado en Riesgos como elemento rector

La nueva ley deroga íntegramente la Ley Contra el Lavado de Dinero y de Activos vigente desde 1999, marcando un cambio conceptual fundamental: el modelo salvadoreño evoluciona de un esquema de cumplimiento meramente formal y reactivo hacia uno de gestión preventiva, proporcional y basada en riesgos (EBR). Esta transición armoniza la legislación nacional con los estándares internacionales del GAFI y da cumplimiento a los compromisos adquiridos con el Fondo Monetario Internacional (FMI), específicamente en lo relativo a la Recomendación 15, que establece el marco jurídico aplicable a los activos virtuales y a sus proveedores de servicios.

Este cambio exige que los sujetos obligados, entre ellos, los proveedores de servicios de activos digitales y bitcoin, abandonen el enfoque reactivo del reporte mecánico de transacciones y asuman un rol activo en la identificación, evaluación y mitigación de riesgos AML/CFT dentro de sus propias operaciones.

2. Los nuevos sujetos obligados: inclusión explícita del ecosistema digital

Uno de los cambios más relevantes de la nueva normativa es la redefinición de los sujetos obligados: las veinte categorías que contemplaba la ley anterior se reducen a diez, lo que implica una simplificación estructural pero también una reconfiguración de quiénes quedan contemplados como sujetos obligados. La nueva ley incorpora explícitamente actores del ecosistema fintech y de innovación financiera que antes no estaban cubiertos de forma específica, entre ellos: los proveedores de servicios de activos digitales y bitcoin, los proveedores de dinero electrónico, las gestoras de fondos de inversión y las titularizadoras.

Esta inclusión se alinea con el sistema que el propio Estado salvadoreño contribuyó a crear. La Comisión Nacional de Activos Digitales (CNAD), creada al amparo de la Ley de Emisión de Activos Digitales, funge ahora como ente supervisor AML/CFT de los sujetos bajo su competencia, en coordinación con la Superintendencia del Sistema Financiero (SSF). Esta supervisión dual amplía la cobertura regulatoria, pero plantea interrogantes sobre la coordinación efectiva entre ambos entes y la homogeneidad de criterios de cumplimiento.

3. Obligaciones sustantivas para el sector fintech y de activos digitales

La nueva ley establece una serie de obligaciones sustantivas para los sujetos obligados del ecosistema digital.

En primer lugar, la debida diligencia intensificada exige la identificación de beneficiarios finales con participación igual o superior al 25 %. Esto resulta particularmente complejo en estructuras descentralizadas propias del ecosistema de activos digitales, donde la titularidad efectiva puede estar fragmentada o ser difícilmente trazable, salvo que concurra alguna de las excepciones previstas por la ley.

En segundo lugar, se establece la creación obligatoria de una Oficialía de Cumplimiento, a cargo de un Oficial de Cumplimiento titular y un suplente, nombrados por la junta directiva u órgano equivalente. Esta figura sustituye al anterior Encargado de Cumplimiento y debe estar debidamente registrada ante la Unidad de Investigación Financiera (UIF), que continúa como ente central de análisis y receptor de reportes.

En tercer lugar, la ley impone plazos operativos exigentes: el reporte de operaciones sospechosas deberá realizarse en un máximo de 24 horas luego de concluido el análisis, mientras que las operaciones reguladas deben reportarse dentro de cinco días hábiles desde su realización. Para proveedores de activos digitales, donde las transacciones ocurren en segundos y de forma transfronteriza, estos plazos demandan sistemas tecnológicos de monitoreo en tiempo real cuya implementación representa un desafío operativo y financiero significativo, especialmente para los actores más pequeños del sector.

Finalmente, merece atención particular la restricción contenida en el artículo 10 de la nueva ley, que prohíbe excluir de productos o servicios financieros a personas naturales o jurídicas basándose únicamente en noticias periodísticas, referencias o señalamientos vinculados al lavado de activos. Para el sector fintech, que típicamente emplea fuentes abiertas de información (OSINT) y listas de vigilancia en sus procesos de onboarding, esta disposición introduce una restricción operativa directa que colisiona con prácticas estándar de gestión de riesgo y que requerirá criterios regulatorios adicionales para su aplicación práctica.

4. Zonas de tensión y oportunidad en el marco normativo vigente

La coexistencia de dos marcos supervisores, SSF y CNAD, plantea la oportunidad de desarrollar protocolos de coordinación interinstitucional en materia de AML/CFT. Para entidades con modelos de negocio híbridos, como los proveedores que operan simultáneamente en dinero electrónico y activos digitales, la definición de criterios conjuntos fortalecerá la seguridad jurídica y optimizará el cumplimiento de obligaciones ante ambos supervisores.

5. El SINAPLAFT y el CIPLAFT: gobernanza institucional del nuevo sistema

La nueva ley crea dos estructuras de especial relevancia para el sector. El Sistema Nacional para la Prevención, Control y Sanción del Lavado de Activos y Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva  (SINAPLAFT) integra a la Fiscalía General de la República, la UIF, las entidades de fiscalización, supervisión, regulación y vigilancia, y los propios sujetos obligados, entre ellos, los actores del ecosistema digital, estableciendo un entramado coordinado que anteriormente carecía de base legal expresa.

El Comité Interinstitucional para la Prevención y Control del Lavado de Activos y el Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva (CIPLAFT), de carácter estratégico y consultivo, estará presidido por el Fiscal General e integrado por las más altas autoridades del Estado. Su facultad para proponer directrices técnicas al Ejecutivo representa una oportunidad concreta para que los criterios de supervisión aplicables al ecosistema fintech se formulen con coherencia institucional desde el más alto nivel.

6. Consideraciones finales

Con la nueva ley AML/CFT, El Salvador reafirma su compromiso con la transparencia en el ámbito de los activos digitales. El marco normativo avanza hacia una fase técnica en la que la labor reglamentaria de la SSF y la CNAD será determinante para que el sector pueda aterrizar sus obligaciones operativas con claridad. La actuación coordinada de ambas instituciones facilitará una aplicación armónica de los criterios de supervisión, brindando mayor seguridad jurídica a los participantes.

En un entorno donde el ahorro personal comienza a ocupar un lugar más relevante en la planificación financiera de los salvadoreños, los Fondos de Ahorro Previsional Voluntario han empezado a posicionarse como una alternativa que combina liquidez, diversificación y tratamiento fiscal diferenciado.

Bajo ese enfoque, AFP CONFIA promueve sus fondos Proyecta Life y Proyecta 5Plus como instrumentos dirigidos a quienes buscan construir patrimonio fuera del esquema tradicional de pensiones.

La propuesta parte de una distinción clave dentro del sistema previsional. “Los Fondos Voluntarios son fondos de inversión, no son el Fondo de Pensiones. Son patrimonios distintos y con regulaciones distintas”, explica Rafael Castellanos, Director de Inversiones de AFP CONFIA. Esa separación permite que estos productos operen bajo una lógica más cercana a los mercados de capitales que a los esquemas obligatorios de ahorro.
Estructura de inversión y funcionamiento
El modelo de estos Fondos se basa en la agrupación de aportes de múltiples inversionistas. Ese capital es administrado por un comité de inversiones que define la estrategia y los activos en los que se colocan los recursos. “Las personas hacen aportes a un fondo común y el equipo de inversiones decide en qué se invierte ese dinero”, señala Castellanos.
Proyecta Life y Proyecta 5Plus responden a perfiles distintos de riesgo y horizonte. Mientras uno mantiene una orientación más conservadora, el otro incorpora mayor exposición a renta variable internacional. En ambos casos, la lógica es permitir acceso a portafolios que normalmente están fuera del alcance de pequeños inversionistas.
“Con montos relativamente bajos, una persona puede participar en inversiones diversificadas en mercados internacionales”, agrega. Esa característica introduce un elemento relevante en un mercado donde muchas opciones de inversión siguen concentradas en instrumentos locales.
Acceso, liquidez y montos mínimos
Uno de los elementos que AFP CONFIA destaca es la facilidad de entrada. La apertura de cuenta puede realizarse desde $100, con aportes y retiros mínimos de $20. Además, el dinero se vuelve disponible a partir del séptimo día.
“Funciona prácticamente como una cuenta a la vista. Después de unos días, el cliente puede disponer de su dinero sin restricciones mayores”, explica Castellanos. Esta condición busca reducir la percepción de rigidez que suele asociarse al ahorro previsional.
El diseño también apunta a ampliar la base de usuarios. “Es un producto accesible, tanto para quienes ya están afiliados a una AFP, como para quienes no lo están”, indica.

Diversificación y acceso a mercados globales
El principal diferenciador de estos Fondos se encuentra en su estructura de inversión. A diferencia de instrumentos tradicionales como los depósitos a plazo fijo, estos portafolios distribuyen el riesgo entre múltiples emisores.
“En lugar de tener el dinero concentrado en una sola institución, el inversionista accede a decenas de empresas”, señala Castellanos. Según explica, los Fondos pueden incluir entre 50 y 100 compañías, dependiendo de la estrategia.
Esa diversificación se extiende a mercados internacionales. “Se invierte en empresas globales como Microsoft, Apple, Google o Amazon”, detalla. Para el inversionista local, esto implica una exposición indirecta a economías desarrolladas sin necesidad de realizar operaciones complejas.
Además, la selección de activos se realiza bajo un proceso estructurado. “No son decisiones al azar. Son inversiones analizadas, discutidas y aprobadas por un comité”, afirma.
Gobierno corporativo y supervisión
En términos regulatorios, los Fondos están bajo la supervisión de la autoridad correspondiente, al igual que el Sistema de Pensiones. Sin embargo, no cuentan con garantías bancarias como los depósitos tradicionales.
Castellanos enfatiza que el respaldo proviene del modelo de gestión. “La fortaleza está en la institucionalidad y en la experiencia de AFP CONFIA administrando activos durante más de dos décadas”, explica.
El proceso de inversión involucra distintas áreas dentro de la organización. “Participan equipos de inversiones, riesgos, cumplimiento, legal y la junta directiva. Son decisiones colegiadas que se revisan periódicamente”, señala.
Este enfoque busca dar trazabilidad a las decisiones y reducir la exposición a riesgos operativos o de concentración.
Incentivo fiscal en la declaración de renta
Uno de los elementos más relevantes de estos instrumentos es su tratamiento tributario. En el contexto de la declaración de renta, los aportes a estos Fondos pueden ser deducibles.
“Se puede descontar hasta el 10% de la renta imponible anual”, explica Castellanos. Este beneficio se suma a otras deducciones ya existentes, como gastos de salud o educación.
El mecanismo está definido por ley y es exclusivo del sistema previsional. “Es un incentivo que no tienen otros fondos de inversión en el mercado local”, añade.
Para los contribuyentes, este componente puede representar un ahorro fiscal directo, además del rendimiento financiero que generen las inversiones.

Canales de acceso y operación
El proceso de incorporación a estos Fondos se ha adaptado a distintos canales. Los usuarios pueden gestionar su apertura a través de agencias, plataformas digitales o atención vía WhatsApp.
“La apertura es similar a la de una cuenta bancaria. Incluye validaciones de cumplimiento y origen de fondos”, explica Castellanos.
Los aportes pueden realizarse mediante transferencias bancarias, pagos con tarjeta, aportes automáticos o mecanismos como NPE. “Hay múltiples formas de invertir, lo que facilita la participación”, señala.
Este enfoque responde a una tendencia más amplia de digitalización en los servicios financieros, donde la facilidad de uso se convierte en un factor clave para la adopción.
Construcción de patrimonio y usos del ahorro
Más allá de la inversión como concepto, AFP CONFIA plantea estos fondos como herramientas de planificación financiera personal. La flexibilidad permite utilizarlos para distintos objetivos.
“Puede funcionar como un fondo de emergencia o para metas de corto plazo, como un viaje o un gasto importante”, indica Castellanos.
Al mismo tiempo, el enfoque de mediano y largo plazo busca generar acumulación de capital. “La idea es que las personas comiencen a construir patrimonio de forma gradual”, agrega.
En el caso de Proyecta Life, se manejan rendimientos asociados a perfiles más conservadores, mientras que Proyecta 5Plus incorpora una mayor exposición a acciones, lo que puede implicar variaciones más amplias en el desempeño.
Un cambio en la relación con el ahorro
El desarrollo de este tipo de productos refleja una transformación en la forma en que los usuarios se relacionan con el ahorro. La posibilidad de combinar liquidez, diversificación y beneficios fiscales introduce nuevas dinámicas en la toma de decisiones financieras.
“Invitamos a las personas a comenzar, aunque sea con montos pequeños”, concluye Castellanos. “El objetivo es que el ahorro se convierta en un hábito y en una herramienta para mejorar su bienestar en el tiempo”.
En un mercado donde la cultura financiera aún está en proceso de expansión, instrumentos como Proyecta Life y Proyecta 5Plus buscan cerrar la brecha entre el ahorro tradicional y la inversión estructurada, con un modelo que integra acceso, regulación y expansión patrimonial.

En un entorno donde la relación entre el Estado y el sector privado se vuelve cada vez más compleja, las firmas legales especializadas en Derecho Público han comenzado a ocupar un rol más determinante en la toma de decisiones empresariales. Regulación, fiscalización, contratación pública y control jurisdiccional configuran un escenario en el que el margen de error es reducido y el impacto de cada decisión jurídica es inmediato.

En ese contexto, Administrative Law Center (ALC) ha construido en pocos años una práctica enfocada en el análisis técnico, el litigio contencioso-administrativo y la asesoría estratégica. Su crecimiento responde a una apuesta clara: consolidarse como una firma especializada, con capacidad de incidir en casos complejos y de aportar criterios en áreas sensibles del Derecho Público.

Desde su fundación, la firma ha participado en controversias relevantes, ha desarrollado programas de formación jurídica y ha logrado posicionarse dentro del gremio a partir de resultados verificables. Su modelo combina litigio, asesoría preventiva y una visión que incorpora elementos del Derecho Constitucional en el análisis de los actos de la Administración.

Rigor técnico y consistencia en resultados

Para el socio Jaime Flamenco, el crecimiento de la firma no responde a una expansión acelerada sin control, sino a un proceso sostenido basado en estándares de trabajo definidos.

“El crecimiento que hemos experimentado en los últimos años es el resultado de una cultura de excelencia aplicada de forma consistente en cada aspecto del trabajo de la firma”, explica.

Esa consistencia se refleja en la forma en que estructuran cada asunto. Desde la asignación de casos hasta la elaboración de escritos y la intervención en audiencias, el enfoque se centra en el análisis técnico y la claridad argumentativa.

“Hemos sido especialmente rigurosos en la atención de cada asunto: desde la asignación estratégica de los casos, su estudio y planificación, hasta la elaboración de escritos complejos y nuestras intervenciones”, señala.

Este método ha llevado a la firma a consolidar un estándar interno que va más allá de lo requerido en cada caso. La anticipación de riesgos y la estructuración de estrategias completas forman parte de su dinámica de trabajo.

“No limitarnos a lo estrictamente requerido, sino anticipar riesgos y estructurar planteamientos sólidos, nos ha permitido optimizar tiempos y obtener resultados consistentes”, afirma.

El reconocimiento, según Flamenco, ha sido una consecuencia directa de ese enfoque. La firma ha logrado posicionarse en el mercado sin depender de estrategias comerciales tradicionales, sino a partir de recomendaciones basadas en resultados.

“Hoy podemos decir que los clientes nos están buscando por recomendaciones basadas en resultados”, indica.

Incidencia jurídica y consolidación de la práctica

El último año ha sido clave para la firma en términos de consolidación. ALC ha fortalecido su práctica en Derecho Público y ha tenido participación en casos que han generado impacto más allá de las partes involucradas.

“Hemos contribuido a la construcción de criterios novedosos en materias como compras públicas, derecho de consumo, derecho municipal y tributario”, explica Flamenco.

Estos aportes han tenido incidencia tanto en resoluciones concretas como en la forma en que se interpretan determinadas áreas del Derecho Administrativo en el país.

En el ámbito contencioso, la firma ha obtenido resoluciones favorables en distintos escenarios. Entre ellos, la admisión de demandas con medidas cautelares, terminaciones anticipadas y sentencias que declaran la ilegalidad de actos administrativos.

“Estos resultados reflejan nuestra capacidad para estructurar estrategias efectivas en asuntos complejos”, sostiene.

La participación en controversias vinculadas a bonos estatales y operaciones de cartera por montos relevantes también ha marcado el posicionamiento de la firma en asuntos de alto impacto económico.

A nivel institucional, ALC ha recibido reconocimientos que respaldan su trayectoria reciente, entre ellos premios como “Firma del Año” y distinciones por crecimiento. Sin embargo, la firma también ha apostado por una dimensión académica como parte de su modelo.

“Fortalecimos nuestra vocación académica mediante programas de formación en Derecho Administrativo, a través de los cuales hemos capacitado a miles de profesionales”, detalla.

Integración de talento y litigación integral

La incorporación del socio Marcos Vela representa un paso en la consolidación del modelo de la firma. Para la socia Jessica Mena, la decisión responde a una visión de largo plazo.

“Marcos es un jurista en el sentido más completo del término. Cuenta con una sólida formación académica y una trayectoria que combina el ejercicio profesional con una destacada actividad académica”, señala.

El valor de su perfil se vincula con su experiencia en la Sala de lo Constitucional, lo que aporta una dimensión adicional al análisis jurídico de la firma.

“Su experiencia como ex Letrado le permitió desarrollar una comprensión sólida del Derecho Administrativo y del razonamiento interpretativo”, explica.

Más allá del perfil individual, su incorporación refuerza una idea central en el modelo de ALC: integrar el análisis administrativo con el control constitucional.

“La integración de talentos en Derecho Constitucional permite que cada asunto sea analizado no solo desde el derecho administrativo, sino también desde el control de legalidad y constitucionalidad”, afirma Mena.

Este enfoque se traduce en lo que la firma define como una “litigación integral”. Es decir, una estrategia que no se limita a responder a un conflicto puntual, sino que construye una línea de acción coherente a lo largo del proceso.

“Cada acción responde a una visión clara y estructurada del caso, evitando respuestas aisladas”, sostiene.

Confianza empresarial en un entorno regulatorio exigente

La firma ha logrado posicionarse como un aliado para empresarios que enfrentan decisiones complejas en su relación con el Estado. Según Mena, ese posicionamiento se sustenta en resultados y en la capacidad de análisis.

“La posibilidad de sustentar con hechos lo que afirmamos ser genera confianza en el empresario”, indica.

En un entorno donde las decisiones legales inciden directamente en la operación de los negocios, contar con asesoría especializada se vuelve un factor determinante.

“Contar con una firma que ha demostrado resultados concretos se convierte en un elemento diferenciador”, agrega.

La creciente complejidad del entorno regulatorio también ha incrementado la demanda por asesoría estratégica. ALC ha respondido a esa demanda con un enfoque que combina técnica y visión.

“Este es un momento oportuno para que más empresarios confíen en nuestros servicios, ante la necesidad de acompañamiento sólido en la toma de decisiones”, señala.

Adaptación, tecnología y visión de futuro

Para el socio Marcos Vela, el Derecho Público se encuentra en un proceso constante de transformación. En ese contexto, la capacidad de adaptación se vuelve esencial.

“En un entorno regulatorio cada vez más exigente, la capacidad de adaptación deja de ser una ventaja y se convierte en una condición indispensable”, afirma.

Ese proceso parte de la formación continua. La firma mantiene una dinámica de estudio permanente que le permite responder a escenarios cambiantes.

“Cada consulta requiere no solo una respuesta técnica correcta, sino una comprensión integral del contexto”, explica.

La incorporación de herramientas tecnológicas también forma parte de esa evolución. En particular, el uso de inteligencia artificial ha comenzado a integrarse en los procesos de trabajo.

“El uso de herramientas como la inteligencia artificial contribuye a optimizar procesos y fortalecer mecanismos de revisión”, señala.

Sin embargo, Vela aclara que estas herramientas no sustituyen el criterio jurídico, sino que lo potencian.

“No se trata de sustituir el criterio jurídico, sino de elevar los estándares de calidad del servicio”, afirma.

Un modelo colaborativo en el ejercicio del Derecho

Además de su enfoque técnico, la firma ha desarrollado una relación cercana con el gremio jurídico. Para Vela, el ejercicio del Derecho requiere espacios de colaboración.

“El ejercicio del Derecho no es una práctica aislada, sino un espacio donde la colaboración permite generar mejores soluciones”, sostiene.

ALC ha trabajado en conjunto con otros profesionales en casos complejos, integrándose en equipos multidisciplinarios cuando la naturaleza del asunto lo requiere.

“Nos resulta natural identificar puntos de encuentro y trabajar de manera coordinada en beneficio del cliente”, explica.

Este modelo se apoya en una estructura que permite aportar desde la especialidad sin desplazar el trabajo de otros actores.

“Procuramos que cada colaboración se base en el reconocimiento del trabajo de cada parte”, señala.

La firma también da valor a las relaciones de largo plazo, tanto con clientes como con colegas.

“El respeto mutuo, la claridad y el cumplimiento de compromisos son esenciales para construir vínculos sostenibles”, afirma.

Una firma que busca incidir

Administrative Law Center ha construido su posicionamiento a partir de una combinación de especialización, resultados y visión. Su enfoque en Derecho Público, su apuesta por la litigación integral y su apertura a la evolución tecnológica reflejan una firma que busca incidir en un entorno jurídico en transformación.

Más allá del crecimiento, su modelo apunta a consolidar un espacio en el que el análisis técnico, la estrategia jurídica y la colaboración se integran para responder a los desafíos de la relación entre el Estado y la empresa.

5 fortalezas que definen a ALC

1. Especialización profunda en Derecho Público
   La firma ha construido su posicionamiento como boutique enfocada, con dominio en áreas como contencioso administrativo, compras públicas y regulación.
2. Capacidad de litigio estratégico en casos complejos
   Su experiencia en controversias de alto impacto económico y en la obtención de medidas cautelares y sentencias favorables refleja solidez técnica y estructuración de casos.
3. Enfoque de “litigación integral”
   Integra el análisis administrativo con el constitucional, lo que amplía el alcance jurídico y fortalece la estrategia en cada asunto.
4. Reputación basada en resultados comprobables
   El crecimiento de la firma se sustenta en recomendaciones del mercado, derivadas de resultados consistentes y no de posicionamiento comercial tradicional.
5. Modelo que combina práctica, academia e innovación
   La formación continua, la generación de criterio jurídico y la incorporación de herramientas como la inteligencia artificial elevan su estándar de servicio.

Hay riesgos que llegan con sirena: un incendio o un robo físico. El delito informático no avisa. Entra por una contraseña reutilizada, por una actualización pendiente, por un correo que “parecía legítimo”, y cuando la empresa lo detecta, el daño ya tuvo tiempo de madurar: transferencias ejecutadas, datos copiados, reputación comprometida, operaciones detenidas.

Lo más caro no es el ataque; es seguir creyendo que “eso solo le pasa a otros”. Esa idea —la de que el ciberdelito solo persigue bancos y multinacionales— hoy es un mito útil para el delincuente. La realidad incómoda es que cualquier organización que facture, contrate, pague planillas, almacene datos de clientes o dependa del correo corporativo, ya está en la mira de los cibercriminales.

Los números que ya no permiten excusas

La ciberdelincuencia ha evolucionado desde actos aislados de intrusión informática, impulsados inicialmente por motivaciones lúdicas o de demostración de habilidades técnicas, hacia una vasta industria criminal altamente profesionalizada, monetizada y estructurada. Las estimaciones sobre el impacto económico de este fenómeno son alarmantes; a nivel global, los costos asociados a la ciberdelincuencia, impulsan pérdidas operativas y patrimoniales que ascienden a la asombrosa cifra de 10.5 billones de dólares anuales. Estas cifras no solo representan un menoscabo económico directo para las empresas afectadas, sino que también generan un efecto dominó que compromete la continuidad operativa, destruye la reputación corporativa y desestabiliza las cadenas de suministro globales.

En El Salvador, la transición hacia una economía interconectada y digitalizada es innegable. Los datos macroeconómicos recientes reflejan el dinamismo de una economía que depende cada vez más de la fluidez de las telecomunicaciones; Este ecosistema transaccional, altamente dependiente de pasarelas de pago, infraestructuras de tecnología financiera (Fintech) y sistemas de procesamiento de datos transfronterizos, constituye un vector de interés prioritario para las organizaciones cibercriminales. 

El ransomware dejó de ser “un problema de TI” para convertirse en una decisión empresarial de alto impacto. El informe State of Ransomware 2024 de Sophos reportó que, entre las organizaciones que pagaron rescate, el pago promedio fue de 2 millones de dólares; y que, excluyendo el rescate, el costo promedio de recuperación alcanzó 2.73 millones de dólares.

Además, 63% de las demandas de rescate superaron el millón de dólares, y casi la mitad de las organizaciones con ingresos menores a 50 millones recibió exigencias de siete cifras.

La pandemia mostró el patrón con crudeza. En su análisis sobre ciberdelincuencia vinculada a COVID-19, INTERPOL reportó la distribución de amenazas informadas por países miembros:

59%: phishing, estafas y fraudes.

36%: malware y ransomware.

22%: dominios maliciosos.

El mensaje de fondo no ha cambiado: el ciberdelito es una de las formas de criminalidad transnacional de más rápido crecimiento y prospera, precisamente, donde la cooperación y la respuesta institucional se vuelven lentas.

El ecosistema que alimenta el riesgo

La superficie de ataque se ensanchó porque el negocio se digitalizó completo. Ya no es “la computadora de contabilidad”; es el ERP, la nube, el WhatsApp del vendedor, el router de la oficina, el teléfono con banca en línea.

A eso se suma el universo IoT. Estimaciones recientes sitúan el número de dispositivos IoT conectados en 18.5 mil millones en 2024 y proyectaron 21.1 mil millones para 2025, con una trayectoria que podría alcanzar 39 mil millones hacia 2030. Cada dispositivo agrega eficiencia; también agrega una puerta más que proteger.

Y, desde 2023, la inteligencia artificial empujó el tablero. Hoy se fabrican correos de phishing “perfectos” a escala, se clonan voces para autorizar pagos por teléfono (vishing) y se usan deepfakes para suplantar identidades en operaciones de alto valor. El fraude dejó de depender del talento individual: ahora se automatiza.

Lo que más golpea al entorno empresarial

En la práctica, las modalidades más recurrentes no siempre son “hackeos” cinematográficos; son delitos que explotan confianza y procesos internos:

• Ransomware: cifrado de información, extorsión y amenaza de filtración.

• Spear phishing y whaling: ataques dirigidos a personal clave y a niveles ejecutivos.

• Robo y venta de credenciales: la llave maestra para entrar sin romper nada.

• Manipulación de datos y sabotaje: alteración de registros, contratos, inventarios y evidencias.

Un derecho que sigue corriendo detrás del crimen

Aquí está el punto incómodo: el problema no es solo tecnológico; es jurídico e institucional. En muchos sistemas judiciales de la región —y El Salvador no es la excepción— el delito informático se sigue abordando con herramientas analógicas: se “imprime” un chat como si fuera prueba autosuficiente, se confunde una captura de pantalla con un registro verificable, se preserva evidencia tarde, y se subestima la volatilidad de los datos.

La evidencia digital tiene reloj. Logs que se rotan, proveedores que conservan metadatos por periodos limitados, dispositivos que alteran su contenido con solo encenderse. Un oficio extemporáneo puede ser, en la práctica, un cibercriminal más que goza de impunidad.

Esto exige operadores capacitados: jueces, fiscales, defensores y peritos que comprendan cadena de custodia digital, verificación mediante hashes, adquisición forense, correlación de eventos, preservación de metadatos y trazabilidad. Sin eso, la norma queda “bonita” en el papel, pero débil en audiencia.

En El Salvador, existe normativa específica que tipifica conductas como acceso indebido, manipulación de datos, espionaje informático y ataques a infraestructura. El desafío es la aplicación: sin laboratorios robustos, sin formación continua y sin protocolos claros de coordinación con proveedores tecnológicos, seguimos litigando contra el siglo XXI con herramientas del siglo XX.

La respuesta empresarial que no puede esperar

La prevención real integra tres dimensiones: técnica, organizacional y legal.

• En lo técnico: autenticación multifactor, gestión de parches, segmentación, respaldos probados (no solo “hechos”), y monitoreo de logs con retención suficiente para investigar.
• En lo organizacional: procesos de doble verificación para pagos, políticas claras para cambios de cuenta bancaria, cultura de reporte sin castigo (para que la gente avise temprano), y simulacros de phishing.
• En lo legal: contratos con proveedores que definan obligaciones de seguridad, tiempos de notificación y responsabilidad; políticas de tratamiento y retención de datos; y, sobre todo, un protocolo de respuesta que contemple preservación de evidencia y comunicación con autoridades.

Porque cuando llega el incidente, la pregunta no es “¿quién tiene la culpa?”, sino “¿qué podemos probar?”. Y esa diferencia decide si la empresa recupera su dinero, si identifica al responsable, y si puede sostener un caso en sede penal o civil.

Cierre: un llamado al Estado y a la empresa

No debemos subestimar lo que ocurre en el ciberespacio, allí se contrata, se paga, se decide… y se delinque. La empresa que no incorpora el riesgo cibernético a su gobernanza, está administrando a ciegas.

Pero también hay una tarea país. Si queremos que la ley disuada, necesitamos operadores entrenados, estándares forenses mínimos, cooperación internacional ágil y una lectura judicial que entienda que la prueba digital no es “papel”, sino dato: verificable, trazable y frágil.

La ciberdelincuencia no espera a que estemos listos. Se aprovecha, precisamente, de que no lo estamos.

¿Si no se tiene la calidad de sujeto obligado, debe hacerse compliance para prevenir lavado de activos?

En El Salvador, desde el 17 de octubre de 2025 entró en vigor la “Ley Especial para la Prevención, Control y Sanción del Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva”, normativa que ha sido catalogada de moderna y conforme al estándar internacional, calificativo discutible, en función del actor que opine sobre la misma. 

Uno de los artículos más polémicos de la ley es el artículo 7, que establece quienes ostentan la calidad de sujetos obligados, es decir, el grupo de personas que deberán cumplir las obligaciones sectoriales de los artículos 9, 31 y 32, con la finalidad de implementar un sistema de prevención de lavado de activos eficaz conforme a su nivel de riesgo. Dicha obligación forma parte de una estrategia de autorregulación regulada sectorial, al contener los parámetros que deben observar los sujetos obligados en la gestión de los riesgos de lavado de activos, siendo un supuesto de compliance sectorial. 

Al entrar en vigencia dicha normativa, el artículo 7 generó cierta sensación de anomia, por la supresión de varios sujetos obligados que se mencionan en el artículo 2 de la “Ley contra el Lavado de Dinero y Activos” -derogada-, creando la percepción que ya no era necesario realizar prevención de lavado de activos, generando un punto ciego en la gestión de riegos de tal delito, pues, las obligaciones de gestionar riesgos de lavado de activos se suelen entender en función de la mera calidad de sujeto obligado, soslayando el resto de riesgos legales establecidos en la normativa, que van más allá de tener o no tal calidad del art. 7.

En ese sentido, la pregunta a responder sería la siguiente, ¿si no se tiene la calidad de sujeto obligado, debe hacerse compliance para prevenir lavado de activos? 

La respuesta es sí, indistintamente de la calidad de sujeto obligado, ya que, la misma solo tiene relevancia en la obligación de gestionar los riesgos legales administrativos sectoriales, observando los requerimientos de los arts. 9, 31 y 32, cuyo incumplimiento genera las sanciones administrativas de los arts. 34 y 35. En sentido contrario, no tener la calidad de sujeto obligado, solo incide en no estar obligado a gestionar los riesgos sectoriales y no ser objeto del régimen administrativo sancionador del título V de la ley -arts. 29-39-.

De ahí que, ceñir la gestión del riesgo de lavado de activos a la calidad de sujeto obligado, genera puntos ciegos, al pasar por alto otros riesgos, como lo son los riesgos legales de índole penal, que al margen de la responsabilidad individual por las conductas de los directores, administradores y empleados, tienen implicaciones patrimoniales, con la aplicación de figuras como el congelamiento de cuentas y la responsabilidad civil solidaria, que pueden ser de mayor de gravedad que una sanción administrativa, por el impacto que pueden generar en la continuidad del negocio y reputación de las personas jurídicas.

Haciendo una analogía con la conducción de vehículos automotores, la forma de reducir los riesgos de puntos ciegos en los espejos es calibrándolos o recalibrándolos. En ese orden de ideas, al aplicarse dicha analogía a la gestión de riesgos, la calibración sería un análisis de riesgos conforme al contexto de la organización, donde no se considere la mera calidad de sujeto obligado –riesgo legal administrativo sectorial-, sino un análisis bajo un enfoque basado en riesgos –EBR-, criterio de proporcionalidad y basado en evidencia, donde se consideren los procesos, actividades, área geográfica, legislación aplicable, tamaño y circunstancias propias de cada entidad. 

En el ámbito de la prevención del delito de lavado de activos, dicho análisis debe identificar las formas en que el delito pueda darse en el marco de las actividades y procesos de cada entidad. Para efectos de claridad, se traen a colación dos ejemplos: el de un sujeto obligado y el de otro que no tiene esa calidad. El primer caso, de un proveedor de servicios digitales, quien tendría calidad de sujeto obligado, al calificar en el supuesto del art. 7 n° 9 de la ley, debiendo cumplir con las obligaciones del art. 9 de la ley. El segundo caso, de una sociedad anónima que se dedica a actividades de construcción, sin realizar intermediación inmobiliaria, es decir, no tendría calidad de sujeto obligado, al no calificar en el supuesto del art. 7 n° 5 de la ley, no debiendo cumplir con las obligaciones del art. 9 de la ley.

No obstante, lo anterior, en el último caso, atendiendo a la estructura, actividad y procesos, deberá hacerse un análisis de riesgos de lavado de activos, donde se considere su estructura de sociedad anónima, que según el último Informe de Evaluación Mutua de la República de El Salvador han sido calificadas como las mayormente expuestas a riesgos de lavado de activos -90% de los casos-; también, tomando en cuenta su actividad de construcción, que según la cuarta actualización del Informe de Amenazas Regionales en materia de Lavado de Activos y Financiamiento del Terrorismo, el sector inmobiliario es uno de los más utilizados para lavar activos en la región; y, considerando que, entre sus procesos está el iniciar relaciones comerciales con clientes, que de no hacerse la debida diligencia del caso, pueden generar vinculación con personas que pretendan lavar recursos de origen delictivo.

La anterior comparación, pone de relieve la importancia de realizar un auténtico análisis de riesgos, más que verificar si se tiene o no la calidad de sujeto obligado, pues, el ostentar o no la situación jurídica del art. 7, no inhibe de otros riesgos legales de índole penal, con consecuencias de mayor impacto a las multas por incumplir obligaciones de índole administrativa sectorial, como la anotación preventiva de inmuebles, el congelamiento de cuentas y la condena en responsabilidad civil solidaria, que pueden generar costos financieros importantes, interrumpir significativamente las operaciones, estancar el crecimiento económico y la continuidad del negocio, aunado al tema reputacional y la pérdida de clientela.

Para finalizar, como un consejo de índole empresarial y profesional, sea para implementar o revisar un sistema de gestión de riesgos de lavado de activos, con motivo de la nueva ley, se recomienda realizar un análisis de riesgos, que se base en las peculiaridades de cada entidad -el contexto, procesos y actividades-, donde se identifiquen los diferentes tipos riesgos: legales, sean administrativos-sectoriales y/o penales; reputacionales, de contagio, entre otros-.

Dicho análisis deberá constar en un informe de riesgos, que evidencie su argumentación, explicando, entre otras cosas, la metodología utilizada y como la misma se aplica al contexto de la organización, a su actividad y cada uno de sus procesos, no limitándose a presentar una mera matriz de riesgos de múltiples colores, que al final no dice nada, pues, aparte de no explicar el proceso de identificación, tampoco explica los parámetros de evaluación, al no indicar como se obtuvieron los puntajes de probabilidad e impacto y las calificaciones de los riesgos inherentes y residuales. En fin, un análisis de riesgos de calidad permitirá que el resto de los elementos del sistema de gestión de riesgos de lavado de activos, se cimentan en bases sólidas; de no ser así, sería endeble desde su diseño.