Ley 21.663: Marco de Ciberseguridad en Chile
Análisis completo de la Ley Marco de Ciberseguridad que crea la Agencia Nacional de Ciberseguridad (ANCI), establece obligaciones para servicios esenciales y operadores de importancia vital, y define un régimen sancionatorio con multas de hasta 40.000 UTM.
Marco legal, exigencias ANCI y régimen de multas
La Ley Marco de Ciberseguridad (Ley N° 21.663) establece por primera vez en Chile un sistema obligatorio y sancionatorio para la gestión de la ciberseguridad. Representa un cambio de paradigma: de buenas prácticas voluntarias a obligaciones legales exigibles y fiscalizables.
Esta ley crea la Agencia Nacional de Ciberseguridad (ANCI), organismo técnico con facultades para regular, fiscalizar y sancionar.
¿A quiénes aplica la ley?
La ley aplica a organizaciones públicas y privadas cuya operación es crítica para el funcionamiento del país, la seguridad de las personas o la continuidad de servicios esenciales.
Criterio de aplicación: no por tamaño ni industria, sino por impacto. Si una interrupción, degradación o compromiso de sistemas podría generar consecuencias graves, la ley aplica.
Organismos del Estado
Sujetos a todas las obligaciones:
- Ministerios y servicios públicos
- Organismos de la Administración del Estado
- Empresas públicas y estatales
- Entidades autónomas y descentralizadas
Empresas privadas que prestan servicios esenciales (SE)
Aplica a empresas cuya interrupción podría afectar:
- Vida o salud de la población
- Seguridad pública
- Economía nacional
- Abastecimiento de bienes o servicios críticos
Sectores típicamente regulados:
- Energía (eléctrica, combustibles, gas)
- Agua potable y saneamiento
- Telecomunicaciones e infraestructura digital
- Salud (clínicas, hospitales, laboratorios)
- Servicios financieros y bancarios
- Transporte e infraestructura asociada
No importa si la empresa es privada, concesionada o mixta.
Operadores de Importancia Vital (OIV)
Categoría reforzada designada formalmente por ANCI cuando:
- La operación depende críticamente de sistemas informáticos
- Una falla o ciberataque puede generar impacto sistémico, nacional o intersectorial
Consecuencias: exigencias más altas, fiscalización intensiva y mayor riesgo sancionatorio.
Proveedores y terceros críticos
Aunque no regulados directamente, quedan involucrados cuando:
- Operan o administran sistemas críticos
- Mantienen accesos privilegiados
- Soportan servicios esenciales externalizados
Deben cumplir estándares equivalentes exigidos contractualmente.
Definición de aplicabilidad
La calificación final no es voluntaria ni autodeclarativa. Corresponde a la ANCI basándose en criterios de riesgo, criticidad e impacto. La ausencia de notificación formal no exime del deber de cumplir preventivamente.
Exigencias generales de la ley
La ley no impone tecnologías específicas, pero exige resultados y capacidades mínimas:
- Gestión activa del riesgo de ciberseguridad
- Capacidad de detección y respuesta a incidentes
- Reporte oportuno de incidentes relevantes
- Gobernanza clara y responsables designados
- Medidas para evitar propagación e impacto de ataques
Instrucciones generales de ANCI (2025)
- Registro obligatorio de servicios esenciales
- Uso de plataforma oficial para reporte de incidentes
- Designación de delegado de ciberseguridad con reporte a alta dirección
- Medidas mínimas para contención y mitigación
Régimen de infracciones y multas
Estructura sancionatoria
| Categoría | Sanción máxima |
|---|---|
| Leve | Hasta 5.000 UTM |
| Grave | Hasta 10.000 UTM |
| Gravísima | Hasta 20.000 UTM |
| OIV o reincidencia | Hasta 40.000 UTM |
Con el valor actual de la UTM, la sanción máxima puede superar los $2.600 millones de pesos chilenos.
Responsabilidad directiva
La ANCI considera como factores:
- Falta de medidas preventivas
- Ausencia de gobernanza
- Reincidencia
- Impacto real o potencial
La alta dirección no puede alegar desconocimiento como eximente.
Baseline mínimo para OIV (audit-ready)
1. Gobernanza y responsabilidad
Lo que se debe tener:
- Delegado de ciberseguridad designado formalmente con dependencia a alta dirección
- Matriz RACI de roles de crisis (quién decide, ejecuta, comunica)
- Comité de ciberseguridad y continuidad con actas
- Política corporativa vigente aprobada por alta dirección
- Gestión de riesgo formal (registro, tratamientos, responsables, plazos)
Evidencia requerida: acta de designación, organigrama, RACI, actas de comité, política aprobada, matriz de riesgos.
2. Capacidad de reporte y coordinación con ANCI/CSIRT
Lo que se debe tener:
- Inscripción vigente en plataforma ANCI con contactos actualizados
- Canal 24/7 para comunicaciones oficiales
- Procedimiento para clasificar incidentes y activar reporte dentro de plazos
- Registro de incidentes con trazabilidad
Evidencia requerida: registro en plataforma, bitácora, procedimiento documentado, registros de simulacros.
3. Contención y no propagación (capacidad técnica)
Lo que se debe tener:
- Capacidad de aislar sistemas comprometidos (por red, identidad, endpoint)
- Segmentación (TI/OT si aplica) y controles contra movimiento lateral
- Gestión de accesos privilegiados (bóveda, MFA)
- Hardening en activos críticos
- Procedimientos de contención: cuarentena, bloqueo de credenciales, bloqueo de IoC, corte de rutas
Evidencia requerida: arquitectura de segmentación, políticas de acceso, procedimientos, ejercicios técnicos.
4. Continuidad operacional y recuperación
Lo que se debe tener:
- Plan de continuidad y recuperación para servicios críticos
- Backups con pruebas periódicas de restauración
- Objetivos de recuperación (RTO/RPO) definidos
- Procedimiento de reconstrucción segura post-incidente
Evidencia requerida: planes BC/DR, resultados de pruebas, inventario con RTO/RPO, bitácoras de simulacros.
5. Gestión de activos críticos y dependencias
Lo que se debe tener:
- Inventario actualizado de activos críticos (sistemas, servicios, datos, comunicaciones)
- Identificación de dependencias (proveedores, telecom, nube) y su criticidad
- Clasificación de información y datos con protección adecuada
Evidencia requerida: CMDB/inventario, mapa de servicios, clasificación de datos, acuerdos con terceros.
6. Monitoreo, detección y respuesta operativa
Lo que se debe tener:
- Fuentes de logs mínimas de activos críticos (identidad, endpoints, red, servidores)
- Capacidades de detección y respuesta con SLAs definidos
- Procedimiento de escalamiento y toma de decisiones en la “hora dorada”
Evidencia requerida: arquitectura de logging, acuerdos SOC, casos de uso, investigaciones documentadas, simulacros.
7. Gestión de terceros (cadena de suministro)
Lo que se debe tener:
- Requisitos de ciberseguridad en contratos con terceros críticos
- Evaluación de riesgos de proveedores (acceso remoto, mantenimiento, integraciones)
- Control de accesos de terceros (MFA, cuentas nominativas, expiración, registros)
Evidencia requerida: cláusulas contractuales, evaluaciones de proveedores, control de accesos, bitácoras de sesiones remotas.
Instructivos oficiales ANCI (2025)
Instrucción General N° 1: Inscripción de prestadores de servicios esenciales
Fundamento: Ley 21.663
Objeto: obliga a entidades calificadas como servicios esenciales a inscribirse formalmente en la plataforma de reporte de incidentes de ANCI.
Exigencias:
- Registro institucional obligatorio
- Identificación de responsables
- Habilitación para reporte legal
Publicación oficial: Diario Oficial - Instrucción N° 1
Instrucción General N° 2: Uso de plataforma de reporte de incidentes
Objeto: regula el uso de la plataforma ANCI para el reporte de incidentes de ciberseguridad.
Exigencias:
- Autenticación robusta (ClaveÚnica/MFA)
- Mantención permanente de datos de contacto
- Capacidad 24/7 para notificaciones oficiales
Publicación oficial: Diario Oficial - Instrucción N° 2
Recomendaciones para la adecuación
- Determinar si la organización es un servicio esencial o un OIV, ya sea por designación formal de ANCI o por autoevaluación preventiva
- Designar un delegado de ciberseguridad con reporte directo a la alta dirección
- Inscribirse en la plataforma ANCI y habilitar el canal de reporte de incidentes
- Levantar un inventario de activos críticos con sus dependencias y clasificación
- Implementar un programa de gestión de riesgos formal con registro, tratamiento y responsables
- Desarrollar capacidades de detección y respuesta con SLAs y procedimientos de escalamiento
- Diseñar y probar un plan de continuidad y recuperación con objetivos RTO/RPO definidos
- Evaluar y contractualizar los requisitos de ciberseguridad con terceros críticos
- Realizar simulacros de incidentes que incluyan la coordinación con ANCI/CSIRT
- Documentar toda la evidencia de cumplimiento para estar audit-ready ante una fiscalización
Conclusión
La Ley 21.663 transforma la ciberseguridad en Chile de un ámbito de buenas prácticas voluntarias a un sistema obligatorio con consecuencias reales. La creación de la ANCI como autoridad fiscalizadora y sancionadora, junto con multas que pueden alcanzar los $2.600 millones de pesos, envía un mensaje claro: la ciberseguridad es ahora una responsabilidad de la alta dirección.
Las organizaciones que califiquen como servicios esenciales u operadores de importancia vital deben actuar con urgencia. El baseline mínimo descrito en este artículo no es aspiracional — es lo que ANCI esperará encontrar en una fiscalización.
Fuente: Análisis basado en la Ley 21.663 Marco de Ciberseguridad e Infraestructura Crítica de la Información, e instructivos oficiales de la Agencia Nacional de Ciberseguridad (ANCI) 2025.