Saltar al contenido principal

Ciberseguridad en empresas chilenas: Ley Marco 21.663 y sus obligaciones

La ley marco ciberseguridad chile empresa (Ley 21.663) crea la ANCI con obligaciones para operadores de importancia vital y relevantes. Toda empresa con datos o sistemas digitales debe implementar medidas básicas. Esta guía explica qué hacer y cómo prepararse para 2026.

0
1
Ciberseguridad en empresas chilenas: Ley Marco 21.663 y sus obligaciones

¿Qué es la Ley Marco de Ciberseguridad y qué cambia para las empresas en Chile?

La Ley N° 21.663, Ley Marco de Ciberseguridad, fue promulgada en 2024 y es la primera norma legal chilena que establece un sistema nacional estructurado de ciberseguridad. Su objetivo central es proteger la infraestructura digital crítica del país y establecer obligaciones para las organizaciones que gestionan servicios esenciales o datos sensibles.

La Ley 21.663 creó la Agencia Nacional de Ciberseguridad (ANCI), el organismo público responsable de coordinar la política nacional de ciberseguridad, dictar instrucciones técnicas, fiscalizar a los obligados y coordinar la respuesta ante incidentes de ciberseguridad. La ANCI reemplaza y amplía las funciones que antes tenía el CSIRT (Computer Security Incident Response Team) de Gobierno.

La ley distingue dos categorías de entidades con obligaciones diferenciadas:

  • Operadores de Importancia Vital (OIV): entidades que prestan servicios esenciales para el funcionamiento de la sociedad o la economía, como energía, telecomunicaciones, agua potable, salud, transporte, banca y servicios financieros. Son los más regulados.
  • Operadores Relevantes: entidades que prestan servicios digitales significativos sin alcanzar la categoría de OIV. Incluye proveedores de infraestructura cloud, plataformas digitales de alto tráfico, procesadores de pago y operadores de datos a escala.

¿Y si tu pyme no es ninguna de esas categorías?

La mayoría de las pymes chilenas no son OIV ni Operadores Relevantes. Sin embargo, la Ley 21.663 establece además un deber general de ciberseguridad aplicable a toda organización que opera en Chile: implementar medidas de seguridad razonables según el tipo y volumen de datos que trata, reportar incidentes significativos a la ANCI cuando corresponda y cooperar con las investigaciones de la Agencia. La escala de medidas exigidas es proporcional al riesgo: a mayor exposición digital y mayores datos manejados, más exigente es el estándar esperado.

Esto se suma a las obligaciones de la Ley 21.719 sobre protección de datos personales, publicada el 13 de diciembre de 2024, cuyas obligaciones operativas entrarán en vigor aproximadamente en diciembre de 2026, al término de su período de vacancia de 24 meses. Para entender qué exige esa ley desde ya, revisa la guía de protección de datos personales para empresas.

Qué debe implementar tu empresa en materia de ciberseguridad

El nivel de implementación requerido depende de si tu empresa es OIV, Operador Relevante o simplemente una empresa con presencia digital. En todos los casos, hay medidas transversales que reducen el riesgo operativo y cumplen con el deber general de ciberseguridad de la Ley 21.663.

Paso 1: Determinar la categoría de tu empresa bajo la Ley 21.663

La ANCI publicará y actualizará el listado de OIV y Operadores Relevantes en su sitio oficial. Si tu empresa opera en sectores de telecomunicaciones, energía, salud, banca, infraestructura crítica o es una plataforma digital de alto tráfico, verifica si ha sido categorizada por la ANCI. Las obligaciones de los OIV son más intensas: implementar controles específicos de seguridad, designar un responsable de ciberseguridad, reportar incidentes dentro de plazos estrictos y someterse a auditorías periódicas.

Paso 2: Implementar una política de seguridad de accesos

La política de accesos es la medida de ciberseguridad con mayor impacto y menor costo para una pyme. Incluye: uso de contraseñas únicas y robustas para cada sistema, activación de autenticación de dos factores (2FA) en todas las cuentas críticas (correo corporativo, sistemas de contabilidad, plataformas de ecommerce, CRM), gestión de accesos por roles (cada persona accede solo a lo que necesita para su trabajo) y procedimiento de revocación inmediata de accesos cuando un trabajador deja la empresa.

Paso 3: Establecer un proceso de backup y continuidad operacional

La continuidad operacional es el eje central de la preparación ante incidentes. Un proceso de backup efectivo tiene tres características: es automático (no depende de que alguien se acuerde), es frecuente (al menos diario para datos críticos), y se prueba periódicamente (se verifica que el backup puede restaurarse). La regla 3-2-1 es el estándar mínimo recomendado: 3 copias de los datos, en 2 medios diferentes, con 1 copia fuera del sitio principal (en la nube o en una ubicación física distinta). Un ransomware que cifra todos los archivos de tu empresa no es un problema de ciberseguridad si tienes un backup verificado de ayer: es un inconveniente de 4 horas.

Paso 4: Preparar un protocolo de respuesta a incidentes

Un incidente de ciberseguridad es cualquier evento que afecta la disponibilidad, integridad o confidencialidad de los sistemas digitales de la empresa. El protocolo de respuesta debe describir: quién es el responsable de coordinar la respuesta, qué sistemas y datos se evalúan primero, cuándo se notifica a la ANCI, cuándo se notifica a clientes o proveedores afectados, cómo se preservan evidencias para análisis forense posterior y cuándo se solicita apoyo técnico externo. Para empresas con obligaciones de datos personales, el protocolo debe incluir también el procedimiento de notificación al SEREMI de Salud o a la autoridad de datos según corresponda.

Paso 5: Capacitar al personal en prácticas de seguridad básicas

El 80% de los incidentes de ciberseguridad en pymes comienza con un error humano: un clic en un enlace de phishing, una contraseña compartida o un archivo descargado de una fuente no confiable. La capacitación anual en prácticas básicas de seguridad —reconocimiento de phishing, manejo seguro de contraseñas, uso de redes corporativas vs. redes públicas— es la inversión de menor costo y mayor retorno en ciberseguridad para cualquier empresa.

Tabla: obligaciones de ciberseguridad según tipo de entidad

Tipo de entidadCategoría Ley 21.663Obligaciones principalesReporte a ANCI
Empresa de energía, telecomunicaciones, bancaOperador de Importancia VitalControles técnicos intensivos, responsable de ciberseguridad, auditoría periódicaSí, obligatorio con plazos estrictos
Plataforma digital de alto tráfico, cloud providerOperador RelevanteControles técnicos, política de seguridad, gestión de incidentesSí, obligatorio
Pyme con ecommerce, datos de clientes, sistemas SaaSEmpresa con deber generalMedidas razonables proporcionales al riesgo, backup, accesos, política básicaSí, ante incidentes significativos
Empresa sin sistemas digitales ni datos de tercerosNo clasificadaMedidas mínimas recomendadasSolo si el incidente afecta a terceros

Documentos de ciberseguridad que debe tener tu empresa

Una empresa que trata datos personales o depende de sistemas digitales necesita documentar sus medidas de seguridad. Esta documentación cumple dos funciones: es la evidencia de diligencia debida ante la ANCI o la autoridad de datos, y es la guía operativa para el equipo cuando ocurre un incidente.

Política de seguridad de la información: Documento que describe las reglas de uso aceptable de los sistemas, dispositivos y redes de la empresa. Incluye: contraseñas y autenticación, uso de dispositivos personales para trabajo, manejo de correo y phishing, protocolos para acceso remoto y clasificación básica de la información según su sensibilidad. Debe estar firmada por todos los trabajadores que usen sistemas digitales.

Inventario de sistemas y datos: Lista de los sistemas digitales que usa la empresa (software, plataformas cloud, bases de datos), qué datos contiene cada uno, quiénes tienen acceso y cuál es el nivel de criticidad de cada sistema. Este inventario es el punto de partida para cualquier análisis de riesgo y para el protocolo de respuesta a incidentes.

Plan de respuesta a incidentes: Documento que describe el procedimiento paso a paso ante un incidente de ciberseguridad: roles y responsabilidades, criterios para activar el plan, pasos de contención, recuperación, comunicación y revisión postincidente. Para empresas con obligaciones de datos personales, el plan debe incluir el proceso de notificación a la autoridad competente dentro de los plazos legales.

Registros de backups y pruebas de restauración: Historial de backups realizados (fecha, sistema, volumen) y registros de pruebas de restauración. La ANCI puede solicitar evidencia de que los procedimientos de continuidad operacional se ejecutan efectivamente, no solo están documentados.

Contratos con proveedores tecnológicos: Los contratos con proveedores de servicios cloud, software SaaS y soporte técnico deben incluir cláusulas de seguridad: qué medidas de seguridad implementa el proveedor, qué pasa con los datos de la empresa si el contrato termina, cómo notifica el proveedor un incidente de seguridad que afecta a la empresa y quién es responsable de qué en caso de una brecha. Revisa la guía de contratos comerciales básicos para pymes para las cláusulas base; los contratos tecnológicos requieren cláusulas adicionales de seguridad y propiedad de datos.

Errores frecuentes de empresas chilenas en ciberseguridad

1. Usar la misma contraseña para todos los sistemas críticos.

Este es el error más común y el que más frecuentemente resulta en una brecha. Una contraseña comprometida en un servicio —por ejemplo, por una filtración de datos de una plataforma externa— puede dar acceso al correo corporativo, al sistema de contabilidad y a las cuentas bancarias online si todas usan la misma clave. La solución es simple: contraseñas únicas para cada sistema y un gestor de contraseñas para el equipo.

2. No revocar accesos cuando un trabajador deja la empresa.

Los accesos de ex trabajadores que no se revocan son una de las principales causas de incidentes internos de ciberseguridad. El procedimiento de offboarding debe incluir la revocación inmediata de todos los accesos —correo, sistemas, plataformas cloud, redes sociales corporativas— el mismo día de la desvinculación o antes de que el trabajador deje las instalaciones.

3. No tener backups probados fuera del sitio principal.

Muchas empresas tienen backups, pero solo en el mismo servidor o en un disco externo que está siempre conectado al mismo equipo. Un ransomware que cifra la red de la empresa cifra también los backups conectados. La copia fuera del sitio —ya sea en la nube o en una ubicación física separada— es la única garantía real de que el backup no será afectado por el mismo incidente que afecta a los sistemas principales.

4. No incluir ciberseguridad en los contratos con proveedores de tecnología.

Las empresas que externalizan su tecnología —hosting, ERP, CRM, ecommerce, contabilidad en la nube— confían su información más sensible a terceros. Si el proveedor tecnológico sufre una brecha y los datos de la empresa quedan expuestos, sin cláusulas contractuales específicas de seguridad y notificación, la empresa afectada tiene muy pocas herramientas para actuar. Los contratos con proveedores de tecnología deben incluir siempre: qué medidas de seguridad aplica el proveedor, qué pasa con los datos si el contrato termina y plazos de notificación de incidentes.

5. Confundir las obligaciones de la Ley 21.663 con las de la Ley 21.719 sobre datos personales.

Son leyes complementarias pero con objetos distintos. La Ley 21.663 se enfoca en la seguridad de los sistemas e infraestructura digital. La Ley 21.719 —publicada el 13 de diciembre de 2024 con un período de vacancia de 24 meses, por lo que sus obligaciones plenas entrarán en vigor aproximadamente en diciembre de 2026— regula el tratamiento de datos personales, el consentimiento, los derechos de los titulares y la notificación de brechas de datos. Una empresa que trata datos personales debe prepararse para cumplir con ambas normas de forma integrada. Revisa la guía de protección de datos personales para empresas para entender qué exige la Ley 21.719.

¿Qué más debe revisar tu empresa para operar con seguridad digital?

La ciberseguridad no es una iniciativa aislada de tecnología: se integra con la gestión legal, documental y contractual de la empresa.

Datos personales y Ley 21.719: Si tu empresa trata datos personales de clientes, trabajadores o proveedores —lo que incluye nombres, RUT, correos, datos de salud o preferencias de compra—, la Ley 21.719 establece nuevas obligaciones que comenzarán a exigirse aproximadamente en diciembre de 2026. Prepárate con anticipación revisando la guía de protección de datos personales para empresas.

Contratos con proveedores tecnológicos: Las cláusulas de seguridad, propiedad de datos y notificación de incidentes son parte de una buena gestión contractual. Revisa la guía de contratos comerciales básicos para pymes y agrega cláusulas específicas en los contratos con proveedores de software, hosting y servicios cloud.

Documentación corporativa: La política de seguridad, el plan de respuesta a incidentes y los registros de backups son documentos corporativos que deben estar accesibles y actualizados, junto con los demás documentos legales y operativos de la empresa. El hub Marca y documentos legales para tu empresa centraliza los recursos para mantener esa documentación organizada.

Próximos pasos regulatorios: La ANCI publicará instrucciones técnicas de carácter general sobre los controles mínimos de seguridad esperados para cada tipo de entidad. Revisa el sitio de la Agencia Nacional de Ciberseguridad para las instrucciones y plazos vigentes.

Preguntas frecuentes

¿Qué es la ANCI y qué puede fiscalizar en mi empresa?

La Agencia Nacional de Ciberseguridad (ANCI) es el organismo creado por la Ley 21.663 para coordinar la política nacional de ciberseguridad, dictar instrucciones técnicas de carácter general y fiscalizar el cumplimiento de las obligaciones de los operadores de importancia vital y los operadores relevantes. La ANCI también puede investigar incidentes de ciberseguridad significativos que afecten a organizaciones en Chile, coordinar la respuesta ante ciberataques y requerir información a las entidades investigadas. Aunque la fiscalización más intensa se concentra en los OIV, cualquier empresa puede ser objeto de requerimientos de información ante incidentes significativos.

¿Qué empresas son Operadores de Importancia Vital bajo la Ley 21.663?

Los Operadores de Importancia Vital (OIV) son entidades que prestan servicios esenciales para el funcionamiento de la sociedad o la economía: energía (electricidad, gas, combustibles), telecomunicaciones, agua potable y saneamiento, salud (hospitales, clínicas, laboratorios críticos), transporte crítico, banca y servicios financieros, e infraestructura de datos crítica. La ANCI determina y publica el listado de OIV. Una empresa que no aparece en el listado de OIV no queda exenta de obligaciones: tiene un deber general de ciberseguridad proporcional al riesgo que representa su actividad.

¿Qué debo hacer si mi empresa sufre un ciberataque o incidente de seguridad?

Ante un incidente de ciberseguridad, los pasos inmediatos son: aislar los sistemas afectados para evitar la propagación (desconectar de la red si corresponde), activar el plan de respuesta a incidentes de la empresa, preservar evidencias para análisis forense posterior (no formatear ni reiniciar sistemas sin documentación previa), evaluar si hay datos personales comprometidos (si los hay, activa el protocolo de notificación a la autoridad de datos), y notificar a la ANCI si el incidente es significativo o si la empresa es un operador obligado. Para incidentes que involucran datos personales, la Ley 21.719 —con obligaciones plenas desde aproximadamente diciembre de 2026— establecerá plazos específicos de notificación.

¿Qué diferencia hay entre la Ley 21.663 (ciberseguridad) y la Ley 21.719 (datos personales)?

La Ley 21.663 es la Ley Marco de Ciberseguridad: protege los sistemas e infraestructuras digitales, establece quiénes son operadores obligados y crea la ANCI. La Ley 21.719 es la nueva Ley de Protección de Datos Personales: regula cómo se recopilan, usan, almacenan y eliminan los datos personales de personas naturales, establece derechos de los titulares (acceso, rectificación, eliminación), obliga a notificar brechas de datos y crea un nuevo regulador sectorial de datos. La Ley 21.719 fue publicada el 13 de diciembre de 2024, con un período de vacancia de 24 meses: sus obligaciones operativas plenas entrarán en vigor aproximadamente en diciembre de 2026. Ambas leyes se complementan: la ciberseguridad es una condición para el cumplimiento de la ley de datos.

Fuentes y referencias

  • Ley N° 21.663 — Ley Marco de Ciberseguridad (BCN) - Ley que establece el sistema nacional de ciberseguridad en Chile, crea la Agencia Nacional de Ciberseguridad (ANCI), define los operadores de importancia vital y los operadores relevantes, y establece el deber general de ciberseguridad para todas las organizaciones.
  • Agencia Nacional de Ciberseguridad (ANCI) — CSIRT de Gobierno - Sitio del equipo de respuesta a incidentes del Gobierno de Chile, que actúa como punto de contacto operativo de la ANCI. Publica alertas de seguridad, instrucciones técnicas y el proceso de reporte de incidentes.
  • Ley N° 21.719 — Protección de Datos Personales (BCN) - Nueva Ley de Protección de Datos Personales, publicada el 13 de diciembre de 2024. Con un período de vacancia de 24 meses, sus obligaciones operativas plenas entran en vigor aproximadamente en diciembre de 2026. Complementa la Ley 21.663 en materia de seguridad de la información.
  • Ley N° 19.628 — Protección de la Vida Privada (BCN) - Ley vigente de protección de datos personales en Chile, aplicable hasta la entrada en vigor plena de la Ley 21.719. Establece obligaciones actuales de las empresas que tratan datos personales.
C
ESCRITO POR

Camila Fuentes