En marzo de 2024 Chile promulgó su primera ley dedicada exclusivamente a la ciberseguridad. Se llama Ley 21.663 o “Ley Marco de Ciberseguridad”, y si operas infraestructura crítica, ofreces servicios esenciales o trabajas en el sector público, esto te afecta directamente.
Si eres una persona que simplemente usa internet o tiene un negocio pequeño, esta ley igual te importa: define quién te protege cuando los sistemas que usas a diario — el banco, la luz, el agua, las telecomunicaciones — sufren un ataque.
¿Por qué Chile necesitaba esta ley?
Antes de la Ley 21.663, la ciberseguridad en Chile estaba dispersa en distintas normas sectoriales: el Banco Central tenía sus circulares, la CMF sus reglas, el sector salud sus propios protocolos. No había un marco común ni un organismo central que coordinara la respuesta nacional ante incidentes.
El resultado era predecible: cada sector respondía a su manera, sin obligación de avisar a nadie, sin estándares mínimos comunes y sin posibilidad real de coordinar cuando un ataque cruzaba varios sectores a la vez.
La ley cambia eso de raíz.
Qué crea la ley
La Agencia Nacional de Ciberseguridad (ANCI)
El cambio más grande es institucional. La ley crea la Agencia Nacional de Ciberseguridad (ANCI), un organismo autónomo que actúa como autoridad técnica y regulatoria en materia de ciberseguridad para todo el país.
La ANCI puede: - Dictar normas técnicas de obligatorio cumplimiento - Fiscalizar y sancionar a las organizaciones que incumplan - Coordinar la respuesta ante incidentes de escala nacional - Asesorar al sector público y privado
Antes no existía nada parecido. Chile contaba con el CSIRT de Gobierno (para el sector público) pero sin autoridad formal sobre el sector privado.
El CSIRT Nacional
Junto con la ANCI, la ley refuerza el CSIRT Nacional — el equipo de respuesta a incidentes de seguridad. Su función es recibir reportes, coordinar la respuesta técnica y compartir inteligencia de amenazas entre sectores.
A quién aplica la ley
La ley establece dos categorías de organizaciones con obligaciones específicas:
Operadores de Servicios Esenciales (OSE)
Son las organizaciones que proveen servicios cuya interrupción afecta significativamente a la población o a la economía. La ley lista los sectores:
- Energía (generación, transmisión y distribución eléctrica, gas, combustibles)
- Agua potable y saneamiento
- Telecomunicaciones
- Servicios financieros (bancos, bolsas, sistemas de pago)
- Salud (hospitales, laboratorios, prestadores críticos)
- Transporte (puertos, aeropuertos, infraestructura vial)
- Logística y cadena de suministro
- Servicios digitales de escala nacional
Operadores de Importancia Vital (OIV)
Es una categoría más exigente. Son los OSE cuya afectación tendría consecuencias catastróficas para el país. La ANCI los designa caso a caso. Sus obligaciones son mayores y los plazos de reporte más cortos.
Administración del Estado
Todos los organismos públicos quedan bajo el ámbito de la ley. Ministerios, servicios públicos, municipalidades y empresas del Estado tienen obligaciones específicas coordinadas con la ANCI y el CSIRT de Gobierno.
Las obligaciones concretas
1. Reportar incidentes en 3 horas
Esta es la obligación que más impacta operacionalmente. Cuando ocurre un incidente significativo, los OSE y OIV tienen 3 horas para reportarlo al CSIRT Nacional desde que lo detectan.
No es un plazo para resolverlo — es un plazo para notificarlo. La lógica es que el CSIRT Nacional pueda alertar a otros actores que podrían estar siendo atacados por el mismo vector.
Los incidentes que aplican son los que afecten la continuidad del servicio, la confidencialidad de datos o la integridad de los sistemas. La ANCI define los criterios específicos por sector.
2. Implementar medidas de seguridad mínimas
La ley obliga a adoptar un conjunto de medidas técnicas y organizacionales mínimas. La ANCI define los estándares concretos mediante instrucciones técnicas, que se actualizan periódicamente. En general incluyen:
- Gestión de vulnerabilidades
- Control de accesos y autenticación
- Segmentación de redes
- Cifrado de datos sensibles
- Planes de continuidad y recuperación
3. Designar un Encargado de Ciberseguridad
Similar al DPO de la Ley 21.719 para datos personales, la Ley 21.663 exige designar un Encargado de Ciberseguridad en cada organización obligada. Es la persona responsable de implementar el programa de seguridad y de actuar como punto de contacto con la ANCI.
4. Realizar evaluaciones periódicas
Los OSE y OIV deben someterse a evaluaciones o auditorías de ciberseguridad con la periodicidad que defina la ANCI. En algunos casos estas auditorías las puede realizar la misma organización (self-assessment); en otros, requieren auditores externos certificados.
Las multas
Las sanciones son significativas y distinguen tres niveles:
| Infracción | Multa máxima |
|---|---|
| Leve | 5.000 UTM (~$375 millones CLP) |
| Grave | 10.000 UTM (~$750 millones CLP) |
| Gravísima | 40.000 UTM (~$3.000 millones CLP) |
Las infracciones gravísimas incluyen no reportar un incidente deliberadamente, entregar información falsa a la ANCI o incumplir una instrucción técnica obligatoria durante un incidente activo.
¿Y si mi empresa no es infraestructura crítica?
La ley no te obliga directamente si no eres un OSE o un organismo público. Pero hay tres razones por las que igual te importa:
Eres proveedor de un OSE. Las grandes organizaciones reguladas van a exigir a sus proveedores estándares de seguridad alineados con lo que la ley les pide a ellas. Si vendes software, servicios o acceso a sistemas a una empresa del sector energía, financiero o salud, esos contratos van a cambiar.
La ley marca el estándar de mercado. Aunque no te obligue, el umbral que la ley define para infraestructura crítica se convierte en referencia para lo que “se considera seguro” en Chile. Clientes, socios y auditores van a usar ese marco.
La Ley 21.719 de datos personales sí te aplica. Y muchas de las medidas técnicas que exige la Ley 21.663 a los OSE son exactamente las que necesitas para cumplir con la protección de datos: control de accesos, gestión de vulnerabilidades, cifrado. Las dos leyes se complementan.
El plazo
La ley está vigente desde 2024. La ANCI está en proceso de constitución y emisión de las instrucciones técnicas sectoriales. Los plazos de implementación varían por categoría: los OIV tienen los más cortos, los OSE tienen períodos de adecuación escalonados según el sector.
Si tu organización puede caer en alguna categoría, conviene partir el análisis ahora — no cuando llegue la primera instrucción técnica con plazo.
Por dónde empezar si crees que te aplica
Primero: determina si eres un OSE o un OIV. La ley lista los sectores, y la ANCI publicará los registros de operadores. Si operas en energía, agua, salud, finanzas, telecomunicaciones o transporte, parte de la base de que sí aplica.
Segundo: haz un diagnóstico de brecha. Compara tus controles actuales contra las obligaciones: ¿tienes un plan de respuesta a incidentes? ¿Puedes detectar y notificar un incidente en 3 horas? ¿Tienes identificado quién sería el Encargado de Ciberseguridad?
Tercero: revisa tus contratos con proveedores. Si un proveedor de software o servicios TI tiene acceso a tus sistemas y no cumple estándares mínimos, tú igual eres responsable ante la ANCI.
Cuarto: documenta todo. La ley exige que las organizaciones puedan demostrar qué hicieron, cuándo y cómo. Sin registros, no hay defensa ante una sanción.
¿Quieres saber cómo está la seguridad de tu sitio web hoy? FreeScan detecta vulnerabilidades en minutos, sin registro y sin costo — es un primer paso concreto hacia el cumplimiento.
