Tienes 3 Horas para Reportar el Incidente a la ANCI
La Ley 21.663 y el Decreto 295/2024 establecen 3 horas para reportar incidentes significativos a la ANCI. Analizamos por qué ese plazo es ficción regulatoria sin preparación previa y qué necesitas construir antes del incidente.
Tienes 3 horas. Pero 3 horas desde cuándo?
Perfecto. Tienes 3 horas para reportar el incidente a la ANCI.
¿Pero 3 horas desde cuándo? ¿Desde que alguien se dio cuenta? ¿Desde que el SOC validó? ¿Desde que el correo llegó al delegado de ciberseguridad que estaba en reunión?
La Ley 21.663 y el Decreto 295/2024 establecen un plazo de 3 horas para que los Operadores de Importancia Vital (OIV) reporten incidentes significativos a la ANCI.
Tres horas suena razonable. Hasta que te das cuenta de que no tienes:
- Monitoreo que detecte en minutos, no en días
- Criterios claros para clasificar qué es reportable y qué no
- Una plantilla prellenada con los datos de tu organización
- Un delegado de ciberseguridad localizable 24/7
- Un playbook que no dependa de “llamar al que sabe”
La matemática es simple
Si tu detección tarda 2 horas, te queda 1 hora para clasificar, escalar, autorizar y reportar.
Si no tienes proceso, las 3 horas son ficción regulatoria.
Veamos los números con más detalle:
| Etapa | Tiempo típico sin proceso | Tiempo con proceso maduro |
|---|---|---|
| Detección del evento | 2-48 horas | 5-30 minutos |
| Triaje y validación | 30-60 minutos | 10-15 minutos |
| Clasificación de severidad | 15-30 minutos | 5 minutos |
| Escalamiento al delegado | 15-60 minutos | 5 minutos (automatizado) |
| Preparación del reporte | 30-60 minutos | 10 minutos (plantilla prellenada) |
| Envío a plataforma ANCI | 10-15 minutos | 5 minutos |
| Total | 4-51 horas | 40-70 minutos |
La diferencia entre cumplir y no cumplir no es suerte. Es preparación.
¿Qué dice exactamente la ley?
Ley 21.663 — Marco de Ciberseguridad
Establece la obligación de los Operadores de Importancia Vital de reportar incidentes de ciberseguridad significativos a la ANCI dentro de plazos definidos.
Decreto 295/2024
Reglamenta los plazos y mecanismos de reporte:
- 3 horas: para el reporte inicial de incidentes significativos
- El reporte debe incluir: naturaleza del incidente, sistemas afectados, impacto estimado, medidas de contención adoptadas
- Se realiza a través de la plataforma oficial de reporte de ANCI
- El incumplimiento del plazo constituye una infracción sancionable
¿Qué es un incidente significativo?
Un incidente que cumple uno o más de estos criterios:
- Afecta la disponibilidad de un servicio esencial
- Compromete la integridad de datos o sistemas críticos
- Tiene impacto en la confidencialidad de información sensible
- Puede propagarse a otras organizaciones o sectores
- Requiere activación de planes de contingencia
Las 5 capacidades que necesitas antes del incidente
1. Monitoreo que detecte en minutos
Si dependes de que un usuario llame al helpdesk para saber que hay un incidente, ya perdiste. Necesitas:
- SIEM operativo con reglas de detección para los escenarios más probables
- EDR/XDR con capacidad de detección y respuesta automatizada
- Alertas configuradas con umbrales que reduzcan el ruido sin perder visibilidad
- SOC con cobertura 24/7 (interno o externalizado con SLA de detección)
Métrica clave: MTTD (Mean Time To Detect). Si tu MTTD es mayor a 1 hora, las 3 horas de la ANCI son inalcanzables en la práctica.
2. Criterios de clasificación predefinidos
El peor momento para decidir si un incidente es reportable o no es durante el incidente. Necesitas:
- Matriz de clasificación con criterios objetivos (no subjetivos)
- Umbrales claros: cuántos usuarios afectados, qué sistemas, qué datos
- Árbol de decisión documentado: si cumple X criterio → es reportable
- Entrenamiento previo: que el analista de turno sepa clasificar sin escalar
Ejemplo de matriz:
| Criterio | Reportable | No reportable |
|---|---|---|
| Servicio esencial afectado | Sí | — |
| Más de 100 usuarios impactados | Sí | — |
| Datos personales comprometidos | Sí | — |
| Malware contenido en sandbox | — | No |
| Phishing sin clic | — | No |
| Intento de intrusión bloqueado | Evaluar | Evaluar |
3. Plantillas prellenadas
Cuando el incidente está activo, nadie quiere buscar el RUT de la organización, el nombre del delegado o el número de inscripción en ANCI. Necesitas:
- Plantilla de reporte inicial con datos estáticos ya completados
- Campos dinámicos claramente marcados (descripción, sistemas afectados, cronología)
- Acceso inmediato a la plantilla (no en un SharePoint que nadie encuentra)
- Credenciales de la plataforma ANCI vigentes y probadas
4. Delegado de ciberseguridad localizable 24/7
La ley exige un delegado de ciberseguridad designado formalmente. Pero designar no es lo mismo que estar disponible.
- Respaldo definido: si el delegado titular no está disponible, ¿quién firma?
- Contacto verificado: celular actualizado, no solo correo corporativo
- Autoridad para reportar: sin necesidad de esperar aprobación del directorio
- Ejercicios periódicos: llamar al delegado a las 3 AM un domingo para verificar que el proceso funciona
5. Playbook que no dependa de una persona
Si tu plan de respuesta a incidentes depende de “llamar al que sabe”, no tienes un plan. Tienes un nombre.
- Playbook documentado con pasos específicos por tipo de incidente
- Roles y responsabilidades claros (RACI de crisis)
- Checklist ejecutable: cada paso con un responsable, un tiempo máximo y un criterio de completitud
- Independiente de personas: cualquier miembro del equipo de turno debe poder ejecutarlo
El reporte no empieza cuando ocurre el incidente
El reporte empieza meses antes, cuando construyes el proceso que te permite llegar a tiempo.
Plan de acción para estar listo
| Plazo | Acción |
|---|---|
| Semana 1 | Verificar inscripción y credenciales en plataforma ANCI |
| Semana 2 | Crear plantilla de reporte inicial prellenada |
| Semana 3 | Documentar matriz de clasificación de incidentes reportables |
| Semana 4 | Definir árbol de escalamiento con respaldos 24/7 |
| Mes 2 | Desarrollar playbook de respuesta con checklist |
| Mes 3 | Ejecutar simulacro completo: detección → clasificación → reporte a ANCI |
| Trimestral | Repetir simulacro y actualizar basado en lecciones aprendidas |
Checklist de verificación rápida
- ¿Estamos inscritos en la plataforma ANCI con datos actualizados?
- ¿Tenemos un delegado de ciberseguridad designado formalmente?
- ¿El delegado (o su respaldo) es localizable 24/7?
- ¿Tenemos criterios documentados para clasificar un incidente como reportable?
- ¿Existe una plantilla de reporte inicial prellenada y accesible?
- ¿Nuestro MTTD es menor a 1 hora para incidentes críticos?
- ¿Hemos realizado un simulacro de reporte en los últimos 90 días?
- ¿El playbook de respuesta es ejecutable sin depender de una persona específica?
Si respondiste “no” a más de 2 preguntas, las 3 horas son un riesgo regulatorio real.
Preparación > Reacción. Siempre.
Las organizaciones que cumplen consistentemente con los plazos regulatorios no son las que tienen más presupuesto o más tecnología. Son las que tienen procesos probados, roles claros y la disciplina de practicar antes de que ocurra el incidente.
La ANCI no va a preguntar si tenías las herramientas más caras. Va a preguntar si tenías un proceso y si lo seguiste.
Tres horas es tiempo suficiente — si te preparaste. Y es una eternidad demasiado corta si estás improvisando.
Referencia: Ley 21.663 Marco de Ciberseguridad, Decreto 295/2024, Instrucciones Generales de la ANCI 2025.