Contenido
  1. ¿Qué es la Ley 21.663?
  2. La ANCI: la nueva autoridad
  3. Operadores de Importancia Vital y servicios esenciales
  4. Qué obligaciones impone
  5. Por qué afecta también a las empresas comunes
  6. El 90% de los ataques empieza por una persona
  7. Qué capacitar en ciberseguridad
  8. Checklist de ciberseguridad

Los ataques de ransomware, el phishing y las filtraciones dejaron de ser un problema lejano: hoy golpean a empresas chilenas de todos los tamaños. La Ley 21.663, Ley Marco de Ciberseguridad, es la respuesta del Estado. Crea una institucionalidad nacional, define qué organizaciones son críticas y les impone obligaciones concretas de gestión de riesgos y reporte de incidentes.

Aunque la ley apunta primero a los servicios esenciales, su efecto se expande a toda la cadena: proveedores, contratistas y empresas que quieren trabajar con grandes clientes. Y en ciberseguridad, el control más rentable sigue siendo el mismo: un equipo capacitado.

Nota importante

Esta guía es informativa y no constituye asesoría legal ni técnica. La aplicación de la Ley 21.663 depende de los reglamentos y de la categorización que haga la ANCI. Verifica el texto vigente en la Biblioteca del Congreso Nacional (bcn.cl).

1. ¿Qué es la Ley 21.663?

Es la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. Establece una política nacional de ciberseguridad, define a las organizaciones críticas y fija obligaciones para prevenir, gestionar y reportar incidentes que afecten sus sistemas informáticos.

2. La ANCI: la nueva autoridad

La ley crea la Agencia Nacional de Ciberseguridad (ANCI), encargada de coordinar la protección del país en el ciberespacio, dictar normas técnicas, fiscalizar a las organizaciones obligadas y aplicar sanciones. También funciona como punto de contacto para la respuesta ante incidentes a nivel nacional.

3. Operadores de Importancia Vital y servicios esenciales

La ley distingue dos grupos especialmente exigidos:

  • Servicios esenciales: sectores como energía, telecomunicaciones, agua, banca y finanzas, salud, transporte y servicios del Estado.
  • Operadores de Importancia Vital (OIV): organizaciones cuya interrupción tendría un impacto significativo en la seguridad o el funcionamiento del país, calificadas como tales por la ANCI.

A los OIV se les exige el estándar más alto: sistemas de gestión de seguridad de la información, planes de continuidad y reporte obligatorio de incidentes en plazos acotados.

4. Qué obligaciones impone

ObligaciónQué implica
Gestión de riesgosIdentificar y mitigar riesgos de ciberseguridad de forma continua
Medidas de seguridadControles técnicos y organizativos proporcionales al riesgo
Reporte de incidentesNotificar a la ANCI los incidentes relevantes en los plazos definidos
Planes de continuidadPoder seguir operando y recuperarse tras un ataque
Capacitación y culturaFormar al personal para reducir el factor humano del riesgo

5. Por qué afecta también a las empresas comunes

Tu empresa puede no ser un OIV y, aun así, verse alcanzada de tres formas:

  • Como proveedor: los grandes clientes y el Estado empezarán a exigir estándares de ciberseguridad a su cadena de proveedores.
  • Por convergencia con datos: un incidente de ciberseguridad casi siempre es también una brecha de datos personales, regulada por la Ley 21.719.
  • Por riesgo puro de negocio: un ransomware puede paralizar una pyme por semanas, con o sin obligación legal.

6. El 90% de los ataques empieza por una persona

La gran mayoría de los incidentes no explota una falla técnica exótica, sino a una persona: un clic en un enlace falso, una contraseña reutilizada, una transferencia autorizada tras un correo que suplantaba al gerente. El firewall más caro no detiene eso.

El dato que cambia la prioridad

La inversión en tecnología sin capacitación deja abierta la puerta principal. Un equipo que reconoce un phishing y reporta a tiempo es más eficaz que muchas herramientas costosas.

Capacita a tu equipo en ciberseguridad en 5 minutos

Sube tu política de seguridad de la información o tu guía de buenas prácticas y la IA la convierte en un curso interactivo con evaluación y certificado para cada trabajador.

Crear mi curso de ciberseguridad gratis →

7. Qué capacitar en ciberseguridad

Una capacitación efectiva para trabajadores no técnicos debe ser práctica y memorable. Los temas que más reducen el riesgo:

  1. Phishing e ingeniería social: cómo reconocer correos, mensajes y llamadas fraudulentas.
  2. Contraseñas y doble factor: por qué no reutilizarlas y cómo usar un gestor.
  3. Manejo de información: qué se puede compartir, por qué canal y qué nunca.
  4. Dispositivos y redes: equipos personales, redes públicas, actualizaciones.
  5. Qué hacer ante un incidente: a quién avisar y con qué urgencia.
  6. Evaluación con puntaje mínimo de aprobación.

8. Checklist de ciberseguridad

Lista de verificación para tu empresa
  • Sabes si tu empresa es servicio esencial u OIV según la ANCI
  • Tienes una política de seguridad de la información escrita
  • Tu equipo usa doble factor y no reutiliza contraseñas críticas
  • Existe un procedimiento para reportar incidentes y se conoce
  • Haces respaldos y los pruebas regularmente
  • Todo el equipo fue capacitado en phishing y buenas prácticas, con evaluación
  • Guardas evidencia de esa capacitación para clientes y auditorías

La ciberseguridad ya no es opcional ni exclusiva de las grandes empresas. La Ley 21.663 marca el estándar y el mercado lo va a exigir. Construir una cultura de seguridad, partiendo por capacitar al equipo, es la inversión de menor costo y mayor retorno que puede hacer una empresa hoy.