ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 3 min de lectura · Intermedio

Ley Marco de Ciberseguridad (Ley 21.663) - ¿Qué deben hacer HOY las organizaciones obligadas?

Guía práctica sobre las acciones concretas que deben tomar las organizaciones obligadas por la Ley Marco de Ciberseguridad de Chile.

Contexto

En diciembre de 2025, la Agencia Nacional de Ciberseguridad de Chile (ANCI) publicó las Instrucciones Generales N.2, N.3 y N.4, operacionalizando la Ley 21.663. Estas instrucciones definen acciones concretas, plazos y responsabilidades exigibles para organizaciones que prestan servicios esenciales o clasificadas como Operadores de Importancia Vital (OIV).

1. Registro y reporte de incidentes: el punto de partida obligatorio

Todas las organizaciones obligadas deben registrarse en la plataforma oficial de reporte de incidentes de ANCI. Esto no es meramente administrativo — sin registro, el reporte es inválido y se incurre en incumplimiento.

En la práctica, esto implica:

  • Registrar responsables a través de Clave Única y autenticación de doble factor
  • Usar mecanismos de autenticación alternativos cuando Clave Única no está disponible, con acreditación institucional formal
  • Mantener información de contacto actualizada, ya que las notificaciones oficiales serán válidamente notificadas usando estos datos

2. Delegado de Ciberseguridad: un rol de gobernanza, no técnico

Un requisito significativo implica la designación de un Delegado de Ciberseguridad para los Operadores de Importancia Vital.

Este rol es distinto de las operaciones de TI o técnicas. Su propósito asegura:

  • Comunicación directa con la alta dirección
  • Representación formal ante ANCI
  • Independencia suficiente para reportar riesgos, incidentes y brechas, incluso cuando sea incómodo

El Delegado debe poseer:

  • Formación o experiencia documentada en ciberseguridad, gestión de riesgos o continuidad operacional
  • Un documento de designación formal firmado por la autoridad competente (directorio, gerencia general, alta dirección, según corresponda)
  • Registro oficial en la plataforma de ANCI

El plazo es claro: dentro de 60 días desde la clasificación como OIV. Cualquier cambio debe reportarse dentro de 5 días hábiles como máximo.

3. Gestión de incidentes: se requiere acción inmediata

La Instrucción General N.4 es particularmente explícita: las organizaciones deben actuar inmediatamente al detectar un incidente de ciberseguridad, incluso si afecta temporalmente las operaciones.

Las medidas requeridas incluyen:

  • Aislar sistemas comprometidos
  • Restringir o bloquear completamente el acceso
  • Cambiar contraseñas administrativas dentro de las primeras 3 horas
  • Eliminar cuentas genéricas o no trazables
  • Bloquear accesos expuestos a internet remotamente
  • Implementar VPN y autenticación multifactor
  • Suspender servicios expuestos a riesgo de explotación activa
  • Implementar segmentación de red para prevenir propagación lateral
  • Proteger estrictamente los sistemas de respaldo

Todas las decisiones deben:

  • Estar documentadas
  • Ser comunicadas a la alta dirección
  • Involucrar coordinación continua con ANCI durante la gestión del incidente

La lógica es directa: la continuidad del servicio se protege a través de decisiones difíciles oportunas, no posponiéndolas.

4. Lo que la alta dirección debe entender (y asumir)

Estas instrucciones confirman lo que muchas organizaciones no han internalizado:

  • La ciberseguridad es un asunto de gobernanza corporativa, no meramente tecnológico
  • Durante incidentes reales, las organizaciones pueden estar obligadas a detener servicios para proteger activos críticos
  • La trazabilidad de decisiones y la evidencia importan tanto como las acciones técnicas
  • La falta de preparación no excusará el incumplimiento ante los reguladores

Conclusión

La Ley Marco de Ciberseguridad de Chile ha transitado de orientación conceptual a requisito operacional — auditable, exigible y con responsabilidades claramente asignadas.

Las organizaciones que avancen decididamente en la definición de roles, formalización de procesos, documentación trazable y capacidad efectiva de respuesta a incidentes no solo asegurarán el cumplimiento regulatorio, sino que reducirán sustancialmente el riesgo operacional, legal y reputacional.

La pregunta relevante ha cambiado: no si los incidentes ocurrirán, sino cuán preparadas estarán las organizaciones para abordarlos, contenerlos y responder con liderazgo cuando lo hagan.

Referencias

  • Agencia Nacional de Ciberseguridad. (2025a). Instrucción General N.o 2, de 2025: Inscripción en la plataforma de reporte de incidentes. Diario Oficial de la República de Chile.
  • Agencia Nacional de Ciberseguridad. (2025b). Instrucción General N.o 3, de 2025: Designación del Delegado de Ciberseguridad. Diario Oficial de la República de Chile.
  • Agencia Nacional de Ciberseguridad. (2025c). Instrucción General N.o 4, de 2025: Medidas para reducir el impacto y la propagación de un incidente de ciberseguridad. Diario Oficial de la República de Chile.
SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo