La semana pasada estuvimos en Patagonia Ciber 2026, el encuentro de ciberseguridad organizado por la ANCI (Agencia Nacional de Ciberseguridad). Dos días de charlas, paneles y conversaciones de pasillo donde quedó clara una cosa: en Chile, la ciberseguridad dejó de ser un tema “de las grandes empresas” para convertirse en una obligación con respaldo legal.
Y entre todas las conversaciones, una pregunta se repitió más que ninguna: ¿cómo cumple una pyme o un emprendedor que no tiene el presupuesto, ni el equipo, ni el área de TI de una gran empresa?
Es una pregunta justa. Y la respuesta es más alentadora de lo que parece.
Qué cambió: el nuevo marco legal chileno
Dos leyes están redefiniendo lo que se espera de cualquier organización que opere en Chile:
- Ley 21.663 — Marco de Ciberseguridad (2024). Creó la ANCI, obliga a reportar incidentes graves en plazos de horas y establece multas que llegan a las 40.000 UTM. Su foco directo son los Operadores de Importancia Vital (OIV) y el Estado. Lo escribimos paso a paso en esta guía.
- Ley 21.719 — Protección de Datos Personales (2024). La primera actualización en 25 años. Si tu negocio guarda nombres, correos o RUTs de clientes —prácticamente cualquier negocio— esta ley te aplica, con plazo para cumplir hasta diciembre de 2026. Los detalles, acá.
Acá está el matiz que muchas pymes no tienen claro y que se discutió bastante en el evento: es probable que tu pyme no sea un OIV y, por lo tanto, no esté bajo la obligación directa de la Ley 21.663. Pero eso no te deja afuera. Por dos vías muy concretas:
- El efecto cadena de suministro. Si le vendes o prestas servicios a una empresa grande o a un OIV, ellos están empezando a exigir contractualmente que demuestres una postura mínima de seguridad. La obligación les baja a ellos, y ellos te la trasladan a ti.
- La Ley 21.719 sí te aplica directo. Procesar datos personales —tu base de clientes, tu lista de correos, tus facturas— te pone dentro de su alcance, sin importar tu tamaño.
Traducido: el cumplimiento ya no es opcional, y tampoco es exclusivo de los grandes.
La brecha que se vio en el evento
El contraste fue evidente en Patagonia Ciber 2026. Las grandes industrias —banca, retail, telecomunicaciones, salud— llevan tiempo abordando esto con equipos dedicados, consultoras y presupuestos de seis o siete cifras. Tienen con qué.
Las pymes, las fundaciones, los profesionales independientes y los emprendedores, en cambio, suelen quedar paralizados entre dos sensaciones: “esto es para empresas más grandes que la mía” y “no tengo plata para una consultoría de ciberseguridad”.
Ambas son comprensibles. Y ambas son un error que sale caro: el atacante automatizado que barre internet no pregunta el tamaño de tu empresa antes de revisar tu dominio.
La buena noticia: el piso es el mismo para todos
Este es el punto que más nos importa transmitir, y el que defendimos en el evento: la base del cumplimiento y de la seguridad es exactamente la misma, midas lo que midas.
Los controles fundamentales no cambian según tu facturación:
- Que tu correo no se pueda suplantar (SPF, DKIM, DMARC).
- Que tu tráfico viaje cifrado y bien configurado (TLS, HSTS).
- Que no expongas paneles de administración, archivos de configuración ni credenciales en tu código.
- Que tu dominio esté protegido (registro vigente, candado anti-transferencia, DNSSEC).
- Que tengas claridad de cómo manejas los datos personales de tus clientes.
Una empresa grande aplica estos controles con un equipo. Una pyme los aplica con una tarde de trabajo. El control es el mismo; lo que cambia es la escala, no la exigencia. Y la mayoría de estas verificaciones se hacen con herramientas gratuitas — lo desarrollamos en este artículo sobre el tema.
Cómo empezar: tu postura frente a las leyes, gratis y en un minuto
Aquí es donde construimos algo concreto. FreeScan —nuestro diagnóstico gratuito— revisa tu sitio desde afuera y te entrega tu postura de seguridad mapeada directamente contra los marcos que importan en Chile: Ley 21.663, Ley 21.719, ISO 27001, NIST CSF y otros. Son exactamente las leyes y estándares de los que se habló en Patagonia Ciber 2026, y los que ya estamos evaluando en cada escaneo.
No instalas nada, no tocamos tu infraestructura, y el informe te dice en lenguaje claro qué está bien, qué falta y cómo se compara con cada marco. Es el mismo tipo de diagnóstico que una gran empresa paga, puesto al alcance de cualquiera.
Un plan realista para esta semana, sin presupuesto:
- Corre FreeScan sobre tu dominio. Tendrás tu línea base y tu preparación frente a cada ley en un minuto.
- Configura SPF y DMARC para que nadie suplante tu correo (guía).
- Revisa tu TLS y tus cabeceras de seguridad.
- Ordena cómo manejas los datos personales de tus clientes, pensando en el plazo de diciembre de 2026.
Lo que no resuelven las herramientas automáticas —un análisis profundo, prueba de explotación, validación de remediación o acompañamiento de cumplimiento por industria— es donde entran nuestros servicios. Pero el piso, ese que separa “estoy expuesto” de “estoy cubierto en lo básico”, es accesible hoy y para todos.
La conclusión de Patagonia Ciber 2026
Si algo dejó el encuentro es que la ciberseguridad en Chile entró en una etapa nueva: con leyes, con una agencia que las hace cumplir y con plazos concretos. La pregunta ya no es si vas a tener que ocuparte del tema, sino cuándo empiezas.
Y empezar no requiere el presupuesto de una gran empresa. Requiere dar el primer paso.
Revisa la postura de seguridad y el cumplimiento de tu sitio gratis en scan.asentic.cl. Si tu organización necesita acompañamiento para cumplir con la Ley 21.663 o la Ley 21.719 según tu industria, conversemos.
