Mapeando los 9 básicos de ANCI
Análisis de los nueve controles fundamentales de seguridad establecidos por la Agencia Nacional de Ciberseguridad de Chile y su alineación con estándares internacionales.
Introducción
La creciente convergencia entre Tecnología de la Información (TI) y Tecnología Operacional (TO) ha ampliado significativamente la superficie de ataque de las organizaciones modernas. Los incidentes de seguridad ahora comprometen no solo datos, sino procesos físicos, continuidad operacional y estabilidad de servicios críticos.
La Agencia Nacional de Ciberseguridad de Chile (ANCI) estableció nueve medidas fundamentales de seguridad diseñadas para una adopción rápida y amplia aplicabilidad. Estos controles se alinean con estándares internacionales incluyendo ISO/IEC, NIST, CIS, ISA/IEC 62443 y NERC CIP.
Control 0: Gestión de activos (fundamento)
Antes de implementar los nueve básicos, las organizaciones necesitan un inventario completo de activos. Sin él:
- No hay visibilidad sobre lo que necesita actualización
- No hay estrategia de respaldo
- No hay capacidad de monitoreo
- No hay línea base de protección
- No hay análisis de impacto de continuidad
Los nueve controles esenciales
1. Gestión de parches
Propósito: Actualizaciones continuas del sistema corrigiendo vulnerabilidades conocidas
Riesgo si se descuida: Explotación directa de vulnerabilidades públicas habilitando compromiso rápido y automatizado
Técnicas de ataque asociadas: Explotación de aplicaciones expuestas al público, escalamiento de privilegios, explotación de servicios remotos
2. Capacitación en conciencia de seguridad
Propósito: Educación continua del personal sobre amenazas reales y responsabilidades de seguridad
Riesgo si se descuida: Los usuarios se convierten en vectores de ataque sin fricción
Técnicas de ataque asociadas: Phishing con adjuntos, enlaces maliciosos, ejecución de comandos por usuarios
3. Acceso de mínimo privilegio
Propósito: Asignar solo permisos estrictamente necesarios por duración limitada
Riesgo si se descuida: Cuenta comprometida equivale a control total del entorno
Técnicas de ataque asociadas: Uso de cuentas válidas, escalamiento de privilegios, inyección de procesos
4. Respaldo y recuperación
Propósito: Copias periódicas, aisladas y probadas con controles de acceso
Riesgo si se descuida: Pérdida irreversible de datos o dependencia del atacante
Técnicas de ataque asociadas: Cifrado de datos por impacto, inhibición de recuperación del sistema, destrucción de datos
5. Seguridad de red
Propósito: Segmentación, firewalls, control de tráfico, cierre de servicios innecesarios
Riesgo si se descuida: Movimiento lateral sin obstáculos, propagación rápida de ataques
Técnicas de ataque asociadas: Servicios remotos, escaneo de red, descubrimiento de sistemas
6. Seguridad de endpoint
Propósito: Hardening, despliegue de EDR/XDR, control de aplicaciones, deshabilitación de macros/servicios
Riesgo si se descuida: Persistencia silenciosa y ejecución continua de malware
Técnicas de ataque asociadas: Ejecución de comandos, mecanismos de inicio automático, tareas programadas
7. Monitoreo en tiempo real (Logging + SOC)
Propósito: Recolección continua, correlación y análisis de eventos de seguridad
Riesgo si se descuida: Los ataques pasan desapercibidos durante semanas o meses
Técnicas de ataque asociadas: Protocolos de capa de aplicación, exfiltración C2, deterioro de defensas
8. Autenticación multifactor (MFA)
Propósito: Autenticación que requiere múltiples factores (conocimiento, posesión, biometría)
Riesgo si se descuida: Credenciales robadas son suficientes para acceso no autorizado
Técnicas de ataque asociadas: Cuentas válidas, modificación de autenticación, ataques de fuerza bruta
9. Gestor de contraseñas
Propósito: Herramienta para generar, almacenar y gestionar credenciales únicas y robustas
Riesgo si se descuida: Reutilización de credenciales entre sistemas habilitando compromisos en cascada
Técnicas de ataque asociadas: Acceso a almacenes de contraseñas, volcado de credenciales del SO, credential stuffing
Implementación estratégica por sectores
TI Corporativo: Forma el núcleo mínimo auditable de un Sistema de Gestión de Seguridad de la Información (SGSI)
OT/ICS: Fundamento para segmentación industrial, control de acceso y detección temprana de amenazas
Energía e infraestructura crítica: Permite avanzar desde el cumplimiento formal de CIP hacia la resiliencia operacional
Secure Controls Framework (SCF): Proporciona una capa de normalización que mapea todos los marcos sin duplicación
Conclusión
El marco de ANCI de Chile representa el mínimo denominador común universal para la seguridad digital, industrial y de infraestructura crítica. Estos controles trascienden sector, tecnología y tamaño organizacional, reflejando principios aplicables en todos los contextos. Para entornos OT e infraestructura crítica, la no implementación crea riesgos operacionales, regulatorios y de seguridad humana inaceptables. El cumplimiento es obligatorio; la resiliencia es liderazgo.
Referencias clave
- Agencia Nacional de Ciberseguridad. (2025). Guía de los 9 básicos de la ciberseguridad.
- NIST Cybersecurity Framework 2.0
- ISO/IEC 27001:2022, 27002:2022, 27035
- ISA/IEC 62443 series
- NERC Critical Infrastructure Protection (CIP) Standards
- CIS Critical Security Controls v8
- Secure Controls Framework Council. (2024). Secure Controls Framework (SCF).
Instrucciones ANCI
- Instrucción General N.o 4, de 2025 - Medidas para reducir el impacto y la propagación de un incidente de ciberseguridad
- Instrucción General N.o 3, de 2025 - Designación del Delegado de Ciberseguridad
- Instrucción General N.o 2, de 2025 - Inscripción en la plataforma de reporte de incidentes
- Instrucción General N.o 1, de 2025 - Inscripción de prestadores de servicios esenciales en la plataforma de reporte de incidentes