ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 4 min de lectura

Ciberseguridad en Simple: Awareness y Leyes Aplicables en Chile

Guía de concientización en ciberseguridad explicada de forma sencilla. Normas y leyes aplicables a Chile: Ley Marco de Ciberseguridad, Ley de Protección de Datos Personales y Ley de Delitos Informáticos.

awarenessconcientizaciónleyesChiledelitos informáticosciberseguridad

Ciberseguridad en simple

La ciberseguridad no debería ser un tema exclusivo de especialistas. Cada persona en una organización — desde el directorio hasta el colaborador más nuevo — es un eslabón en la cadena de protección. Este artículo presenta las normas y leyes aplicables a Chile de forma sencilla para que cualquier empresa pueda entenderlas e implementarlas.

Las tres leyes clave de ciberseguridad en Chile

Chile cuenta hoy con un marco legal robusto que aborda la ciberseguridad desde tres ángulos complementarios:

1. Ley 21.663 — Ley Marco de Ciberseguridad

¿Qué regula? La seguridad operacional y la resiliencia digital del Estado y de los servicios esenciales.

¿A quién aplica? Organizaciones públicas y privadas cuya operación es crítica para el funcionamiento del país.

Autoridad: Agencia Nacional de Ciberseguridad (ANCI).

Lo que exige:

  • Gestión activa de riesgos de ciberseguridad
  • Capacidad de detección y respuesta a incidentes
  • Reporte obligatorio de incidentes
  • Designación de un delegado de ciberseguridad
  • Medidas para evitar la propagación de ataques

Multas: hasta 40.000 UTM para Operadores de Importancia Vital (OIV).

2. Ley 21.719 — Ley de Protección de Datos Personales

¿Qué regula? El tratamiento de datos personales: qué datos se recolectan, para qué se usan, quién puede acceder y cuáles son los derechos del titular.

¿A quién aplica? Toda organización que trate datos personales en Chile, sin importar su tamaño.

Autoridad: Agencia de Protección de Datos Personales.

Lo que exige:

  • Consentimiento informado
  • Derechos ARCO (acceso, rectificación, cancelación, oposición)
  • Portabilidad de datos
  • Evaluaciones de impacto en privacidad
  • Accountability: demostrar cumplimiento documentado

Multas: hasta 20.000 UTM para infracciones gravísimas.

Vigencia: 1 de diciembre de 2026 (período de adecuación en curso).

3. Ley 21.459 — Ley de Delitos Informáticos

¿Qué regula? Tipifica los delitos informáticos en Chile, actualizando la legislación anterior (Ley 19.223 de 1993).

¿A quién aplica? A todas las personas naturales y jurídicas. Define qué conductas son delito y sus penas asociadas.

Delitos tipificados:

  • Acceso ilícito a sistemas informáticos
  • Interceptación ilícita de datos
  • Ataque a la integridad de datos informáticos
  • Ataque a la integridad de sistemas informáticos
  • Falsificación informática
  • Fraude informático
  • Receptación de datos informáticos
  • Abuso de dispositivos (herramientas de hacking malicioso)

Referencia oficial: Texto completo en la Biblioteca del Congreso Nacional

¿Cómo se relacionan las tres leyes?

AspectoLey 21.663Ley 21.719Ley 21.459
EnfoqueResiliencia de sistemasPrivacidad de datosConductas delictivas
ProtegeInfraestructura críticaDerechos de las personasOrden público digital
AutoridadANCIAgencia de DatosMinisterio Público/Tribunales
SancionesMultas administrativasMultas administrativasPenas penales (cárcel + multas)
TipoPreventiva y operacionalPreventiva y de derechosPunitiva

Ejemplo: un incidente de ransomware

Un ataque de ransomware a una empresa puede activar las tres leyes simultáneamente:

  1. Ley 21.663: se interrumpe un servicio esencial → reporte a ANCI, activación del plan de respuesta
  2. Ley 21.719: se exfiltran datos personales → notificación a la Agencia de Datos y a los titulares afectados
  3. Ley 21.459: el atacante cometió delitos informáticos → denuncia al Ministerio Público, investigación penal

¿Por qué es importante el awareness?

La tecnología sola no protege a una organización. El factor humano sigue siendo el vector de ataque más explotado:

  • Phishing: correos falsos que engañan a las personas para entregar credenciales o ejecutar malware
  • Ingeniería social: manipulación psicológica para obtener información o acceso
  • Contraseñas débiles: la puerta de entrada más común para los atacantes
  • Shadow IT: uso de herramientas no autorizadas que escapan al control de seguridad
  • Negligencia: no actualizar sistemas, no seguir procedimientos, no reportar incidentes

¿Qué debe incluir un programa de awareness?

  1. Capacitación regular: no una vez al año, sino de forma continua y práctica
  2. Simulaciones de phishing: ejercicios controlados para medir y mejorar la respuesta
  3. Políticas claras: que todos entiendan qué pueden y qué no pueden hacer con los sistemas y datos
  4. Canal de reporte: que sea fácil y sin consecuencias negativas reportar incidentes sospechosos
  5. Métricas: medir la efectividad del programa y ajustar continuamente
  6. Involucramiento de la dirección: el ejemplo viene de arriba

Recomendaciones prácticas

Para la organización

  • Implementar un programa de concientización continuo, no solo charlas anuales
  • Integrar la ciberseguridad en la cultura organizacional desde el onboarding
  • Realizar simulacros de incidentes que incluyan al equipo directivo
  • Mantener una comunicación constante sobre amenazas actuales

Para las personas

  • Verificar siempre el remitente antes de hacer clic en enlaces o abrir archivos adjuntos
  • Usar contraseñas únicas y robustas para cada servicio
  • Activar la autenticación en dos pasos (MFA) en todas las cuentas que lo permitan
  • Reportar cualquier correo, mensaje o situación sospechosa
  • Mantener actualizado el sistema operativo y las aplicaciones

Conclusión

La ciberseguridad en Chile tiene hoy un marco legal completo: la Ley 21.663 protege la resiliencia de los sistemas, la Ley 21.719 protege los datos de las personas, y la Ley 21.459 sanciona a quienes cometen delitos informáticos. Pero ninguna ley es efectiva sin personas conscientes y preparadas.

El awareness no es un gasto — es la inversión más rentable en ciberseguridad. Una organización con colaboradores informados es significativamente más resistente a los ataques que una que solo depende de la tecnología.

Fuente: Análisis basado en las leyes 21.663, 21.719 y 21.459 de Chile. Para programas de concientización profesionales, consulte TTPSEC SpA.

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

Artículos relacionados

·2 min de lectura
Acciones inmediatas para la Alta Dirección ante la Ley Marco de Ciberseguridad
ley 21.663ANCIcompliance
·5 min de lectura
Comparativa: Ley 21.663 (Ciberseguridad) vs Ley 21.719 (Datos Personales)
ley 21.663ley 21.719ciberseguridad
·6 min de lectura
Ley 21.663: Marco de Ciberseguridad en Chile
ciberseguridadley 21.663ANCI

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo