Compliance

Ley de ciberseguridad en Chile: qué dice y cómo prepararte

juanhernandez@preyhq.com
Juan H.
Apr 1, 2025
0 minutos de lectura
Ley de ciberseguridad en Chile: qué dice y cómo prepararte

En abril de 2024, Chile dio un paso histórico al promulgar la Ley Marco de Ciberseguridad (Ley 21.663), una normativa que establece las bases para proteger la infraestructura digital del país frente a amenazas cibernéticas cada vez más frecuentes y sofisticadas.

Esta ley tiene un impacto directo sobre organismos públicos, empresas privadas consideradas operadores de servicios esenciales y operadores de importancia vital, y toda organización que maneje infraestructura crítica. Además, crea oficialmente la Agencia Nacional de Ciberseguridad (ANCI) como ente fiscalizador.

En este artículo te explicamos:

  • Qué establece la nueva ley de ciberseguridad en Chile
  • A quiénes aplica y cuáles son sus obligaciones
  • Qué sanciones contempla por incumplimiento
  • Y cómo pueden las organizaciones prepararse para cumplirla antes de su entrada en vigencia en 2025

Si tu empresa opera en sectores como telecomunicaciones, transporte, salud, energía o servicios digitales, esta información te interesa. Cumplir con la ley no solo evitará sanciones, sino que te permitirá construir una cultura de ciberseguridad sólida y resiliente.

Elemento Ley 19.628 Ley 21.719
Ente fiscalizador Consejo para la Transparencia Agencia de Protección de Datos
Derecho de los titulares Acceso, rectificación Acceso, rectificación, cancelación, oposición
Sanciones Limitadas Multas de hasta 10.000 UTM
Enfoque Más general Basado en estándares internacionales (como el RGPD)

Estado actual de la ciberseguridad en Chile y América Latina

Primeramente, es importante destacar el complejo contexto de la brecha digital en la región latinoamericana: De acuerdo con el Banco Interamericano de Desarrollo (BID), la población de América Latina tiene un 71% de acceso a Internet. No obstante, existen 3 grandes desventajas: infraestructura tecnológica desactualizada; masificación de dispositivos móviles Android —suele ser un sistema operativo frágil y expuesto al malware— y falta de profesionales y técnicos en el área de ciberseguridad.

Por otro lado, según cifras del reporte “Ciberseguridad: riesgos, avances y el camino a seguir en América Latina y el Caribe” la región a dado pasos en la dirección correcta:

  • En los últimos 5 años el uso de las TIC se ha expandido en la región, aunque también ha aumentado la necesidad de garantizar la confianza digital.
  • La ciberseguridad ha ido más allá de lo técnico y ha permeado en otras áreas como la justicia penal, diplomacia, seguridad y defensa, economía digital y comercio, entre otras.
  • Específicamente en el caso chileno, en el período 2017 se lograron mejoras significativas en las áreas de desarrollo de estrategias de seguridad cibernética, respuesta a incidentes, defensa cibernética, cultura cibernética, confianza y seguridad en internet, mecanismos de denuncia.

No obstante, para el 2022 la región se enfrentó a diversos desafíos asociados a la modernidad

  • El costo promedio de un ciberataque se posicionó alrededor de los 3.6 millones de dólares.
  • La mayoría de los ciberataques fueron dirigidos en un 31% a los organismos gubernamentales, 11% a las industrias, 9% a instituciones financieras y 9% al retail.
  • El ciberataque más frecuente fue el ransomware.
  • Los ataques cibernéticos dirigidos a dispositivos móviles más frecuentes fueron malware (78%), spyware (40%), troyanos (32%).
  • Sigue habiendo un falta de mejoras en las áreas de protección de la infraestructura crítica, manejo de crisis y redundancia de comunicaciones.

Aspectos centrales de la ley marco de ciberseguridad

Antes de empezar es importante destacar que para redactar el texto normativo se utilizaron como base las recomendaciones de la Unión Internacional de Telecomunicaciones (UIT) y se tomó como referencia la experiencia de la unión europea con la normativa NIS2 en materia de seguridad digital.

Esta ley era necesaria para llenar vacíos legales dentro del marco normativo chileno, especialmente para abordar ciberseguridad en los organismos del Estado y en la prestación de servicios esenciales.

Sobre los aspectos clave se ha considerado:

  • Foco Integral: La ley aborda la ciberseguridad de manera transversal y no solo es cosa de expertos en tecnología. La ley considera aspectos técnicos, legales y la cooperación público-privada para enfrentar las amenazas cibernéticas de manera efectiva.
  • Infraestructura crítica: Uno de los puntos fuertes de la ley es la protección de la infraestructura crítica del país, como los servicios de energía, agua, transporte y comunicaciones, contra posibles ataques cibernéticos que podrían tener un impacto significativo en la seguridad nacional y el bienestar de la población.
  • Responsabilidades claras: La norma establece claramente las responsabilidades de los diferentes actores, tanto públicos como privados, en materia de ciberseguridad, fomentando la colaboración y coordinación entre ellos para fortalecer las defensas digitales del país.
  • Incidentes: La ley contempla mecanismos para la gestión de incidentes cibernéticos, incluyendo la creación de un centro nacional de respuesta a incidentes cibernéticos (CERT) que coordine la respuesta a ataques cibernéticos y brinde asistencia a las víctimas.
  • Empresas y organizaciones: Se establecen requisitos y normas para empresas y organizaciones en materia de ciberseguridad, incluyendo la obligación de implementar medidas de protección de la información y reportar incidentes cibernéticos.
  • Educación y concienciación: La ley incluye iniciativas para promover la educación y concienciación sobre ciberseguridad en la sociedad, para aumentar la resiliencia frente a las amenazas digitales y fomentar buenas prácticas en el uso seguro de la tecnología.

Por otro lado, se da respuesta a la preocupación creciente de los chilenos por la protección de sus datos personales en Internet.

En la Ley se crea la Agencia Nacional de Ciberseguridad (ANCI) siendo la primera de este tipo en América Latina. En este sentido la ANCI será regulatoria, fiscalizadora y sancionadora de todas las entidades, públicas y privadas, que brinden servicios esenciales al día a día.

También se establece y promueve la coordinación público-privada, donde los entes privados deben informar oportunamente los incidentes digitales a la ANCI para una respuesta a tiempo y efectiva.

Oportunidades y desafíos

La Ley considera servicios esenciales los que pueden estar bajo concesión, como el transporte, la banca, la energía, entre otros. En este sentido podemos entender que al ser servicios esenciales deben tener el blindaje digital correspondiente lo que da más seguridad y eficiencia al servicio prestado.

Por lo tanto estas proveedoras de servicios deberán invertir en personal capacitado y en tecnología de ciberseguridad adecuada para evitar ciberataques. Por lo tanto se abre un terreno para la creación de más empresas especializadas en este ámbito para abordar la demanda en ciberseguridad que va a crecer.

En resumen podemos categorizar las oportunidades de la siguiente manera:

Mejora la ciberseguridad‍

Da la oportunidad de mejorar significativamente la ciberseguridad del país al crear un marco regulatorio que abarque las amenazas digitales de manera integral y tenga una economía digital sólida.

Fomento de la Innovación y la Economía Digital‍

Aumenta la confianza en la seguridad de las transacciones y la protección de datos en línea, la ley puede fomentar la innovación y el crecimiento de la economía digital al dar un entorno más seguro a empresas y usuarios.

Cooperación Público-Privada‍

Promueve la colaboración entre el gobierno y el sector privado en la lucha contra las amenazas cibernéticas, compartir información y recursos.

Conciencia y Educación en Ciberseguridad‍

Impulsa la conciencia y educación en ciberseguridad en la sociedad chilena lo que puede ayudar a reducir la vulnerabilidad de individuos y organizaciones a las amenazas digitales.

A pesar de este nuevo y más fuerte panorama en seguridad digital para Chile, también trae desafíos:

Ejecución‍

Uno de los desafíos principales será asegurar la ejecución efectiva de la ley, que las disposiciones se cumplan y que haya los recursos para hacerlo.

Actualización Tecnológica‍

Dado el ritmo que tiene la tecnología y las tácticas de los ciberdelincuentes, será fundamental que la ley se mantenga actualizada y flexible para adaptarse a las nuevas amenazas y tecnologías emergentes.

Privacidad‍

A medida que se fortalecen las medidas de ciberseguridad se plantea la protección de la privacidad de los ciudadanos, lo que implica definir y aplicar estándares estrictos de seguridad

Capacitación y Recursos‍

Personal capacitado en ciberseguridad y recursos para implementar. Hoy en día existe una brecha gigante de profesionales especializados en ciberseguridad, segun expertos estiman que Chile necesita más de 28 mil profesionales vinculados a esta área.

Cómo afecta esta ley a una empresa Chilena

La Ley Marco de Ciberseguridad no es solo un marco regulatorio abstracto: representa un cambio real en cómo las organizaciones chilenas —especialmente aquellas que operan servicios esenciales— deben gestionar su seguridad digital. Es crucial revisar la seguridad de la conexión del usuario antes de permitir el acceso a ciertos servicios.

Imagina una empresa de telecomunicaciones que ofrece conectividad a nivel nacional. Según la nueva ley, esta empresa será considerada operador de importancia vital, y deberá cumplir con una serie de obligaciones técnicas, administrativas y operativas para proteger su infraestructura y datos.

Aquí te explicamos qué implica:

1. Implementar políticas de ciberseguridad robustas

La empresa debe contar con políticas internas de ciberseguridad claramente documentadas y actualizadas, que incluyan:

  • Procedimientos para prevenir ataques
  • Gestión de accesos y privilegios
  • Planes de recuperación ante incidentes
  • Evaluación de riesgos tecnológicos periódica

A continuación, las empresas deben seguir estos pasos para asegurar la seguridad de sus sistemas y datos.

Estas políticas deben alinearse con estándares internacionales como ISO 27001 o NIST.

2. Reportar incidentes a la ANCI en plazos estrictos

Si ocurre un ciberataque que afecte la continuidad operativa o exponga información sensible, la empresa debe:

  • Notificar el incidente a la Agencia Nacional de Ciberseguridad (ANCI)
  • Hacerlo en un plazo máximo de 72 horas
  • Proporcionar información detallada sobre el incidente, impacto y medidas tomadas. Además, se debe realizar una verificación de identidad mediante un humano completando la acción como parte del proceso de reporte.

Esto obliga a tener canales de comunicación internos bien definidos y un equipo listo para responder ante incidentes.

3. Designar un responsable de ciberseguridad

La ley exige contar con un encargado de ciberseguridad o CISO (Chief Information Security Officer), responsable de:

  • Supervisar las políticas de seguridad
  • Monitorear riesgos
  • Coordinar respuestas ante incidentes
  • Actuar como punto de contacto con la ANCI

Es crucial implementar una verificación de seguridad para asegurar que el responsable de ciberseguridad sea un ser humano real y no un bot.

Este perfil debe tener competencias técnicas y autoridad dentro de la estructura organizacional.

4. Realizar auditorías y evaluaciones periódicas

Cada empresa clasificada como crítica o esencial deberá:

  • Someterse a auditorías de ciberseguridad internas o externas
  • Documentar los resultados y tomar medidas correctivas. La verificación de estos procesos puede incluir un ser humano completando las auditorías y evaluaciones.
  • Reportar a la ANCI los resultados cuando sea requerido

Esto garantiza que los controles no solo existan “en el papel”, sino que sean verificados y mejorados de forma continua.

Ejemplo práctico

Una empresa de energía eléctrica que gestiona redes de distribución debe tener:

  • Un plan de continuidad operativa y recuperación ante ransomware
  • Equipos segmentados para evitar propagación de malware
  • Control de accesos para técnicos en terreno
  • Monitoreo constante de logs y sistemas críticos
  • Procedimientos de respuesta inmediata para incidentes que afecten el suministro

Además, es crucial implementar acciones específicas como la coordinación con organismos del Estado y el sector privado para asegurar la continuidad del servicio y gestionar eficazmente los incidentes de ciberseguridad.

Perspectivas futuras

La promulgación de la nueva ley puntualiza el comienzo de una nueva era en la protección digital en Chile. Sin embargo, su implementación no representa el final del camino, sino más bien el inicio de una evolución continua en la forma en que el país aborda las amenazas cibernéticas.

Con esto en mente, es importante reflexionar sobre las perspectivas futuras de la ciberseguridad en Chile y considerar posibles ajustes que podrían surgir en el camino.

Avances tecnológicos y amenazas emergentes

El panorama de la ciberseguridad está en constante evolución, impulsado por avances tecnológicos y la creatividad de los ciberdelincuentes. Con la implementación de la Ley, es probable que veamos nuevas tecnologías y enfoques de seguridad digital emergentes.

Al mismo tiempo, también podrían surgir nuevas amenazas y vulnerabilidades que requerirán respuestas rápidas y flexibles por parte de las autoridades y las empresas.

Educación y concienciación continua

La educación y la concienciación en ciberseguridad seguirán desempeñando un papel crucial en la protección de individuos y organizaciones. Es fundamental seguir promoviendo la capacitación en buenas prácticas de seguridad digital en todos los niveles de la sociedad, desde los estudiantes hasta los profesionales de la tecnología, para fortalecer la resiliencia frente a las amenazas cibernéticas.

Cooperación internacional

Dada la naturaleza global de las amenazas cibernéticas, la cooperación internacional será cada vez más importante en la lucha contra el cibercrimen. Chile deberá seguir colaborando con otros países, organizaciones internacionales y el sector privado para intercambiar información, compartir mejores prácticas y coordinar respuestas conjuntas a ataques cibernéticos.

Evaluación y ajustes de la legislación

A medida que se implementa la ley y se adquiere experiencia en su aplicación es probable que surjan áreas que requieran ajustes o mejoras. Será importante realizar evaluaciones periódicas de la efectividad de la legislación y estar abiertos a realizar modificaciones conforme evoluciona el panorama de la ciberseguridad y se identifican nuevas necesidades y desafíos.

Conclusiones

La promulgación de la nueva ley macro de ciberseguridad representa un hito significativo en el fortalecimiento de las defensas digitales del país y en la protección de la infraestructura crítica y la información sensible frente a las crecientes amenazas cibernéticas. La ley abarca materias específicas como las obligaciones de los organismos del Estado, la coordinación de acciones y la normativa que regula la ciberseguridad.

Esta nueva Ley proporciona un marco regulatorio integral que aborda aspectos técnicos, legales y de cooperación público-privada. Establece responsabilidades claras para los diferentes actores y promueve la colaboración y la coordinación en la respuesta a incidentes cibernéticos.

Aunque, la implementación de esta ley no estará exenta de desafíos.

Será necesario enfrentar obstáculos como la adaptación a nuevas tecnologías y amenazas emergentes, garantizar la protección de datos privados y esenciales y asegurar la asignación adecuada de recursos y capacitación en ciberseguridad.

En última instancia, la ley representa un paso importante hacia un futuro más seguro y protegido en el ámbito digital en Chile. Al trabajar juntos, gobierno, empresas y ciudadanos pueden enfrentar los desafíos cibernéticos con confianza y construir un entorno en línea más seguro y resiliente para todos.

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

var Webflow = Webflow || []; Webflow.push(() => { function changeTab(shouldScroll = false) { const hashSegments = window.location.hash.substring(1).split('/'); const offset = 90; // change this to match your fixed header height if you have one let lastTabTarget; for (const segment of hashSegments) { const tabTarget = document.querySelector(`[data-w-tab="${segment}"]`); if (tabTarget) { tabTarget.click(); lastTabTarget = tabTarget; } } } const tabs = document.querySelectorAll('[data-w-tab]'); tabs.forEach(tab => { const dataWTabValue = tab.dataset.wTab; const parsedDataTab = dataWTabValue.replace(/\s+/g,"-").toLowerCase(); tab.dataset.wTab = parsedDataTab; tab.addEventListener('click', () => { history.pushState({}, '', `#${parsedDataTab}`); }); }); if (window.location.hash) { requestAnimationFrame(() => { changeTab(true); }); } window.addEventListener('hashchange', () => { changeTab() }); }); // Date translation function from EN to ES when website is ES function translateDateToES(observer) { if (observer) observer.disconnect(); const userLang = document.documentElement.lang; const dateElements = document.querySelectorAll('.date'); if (userLang.toLowerCase().includes('es')) { dateElements.forEach(element => { const englishDate = element.textContent.trim(); const translatedDate = englishDate // Translate months .replace('Jan', 'Ene') //.replace('Feb', 'Feb') //.replace('Mar', 'Mar') .replace('Apr', 'Abr') //.replace('May', 'May') //.replace('Jun', 'Jun') //.replace('Jul', 'Jul') .replace('Aug', 'Ago') //.replace('Sep', 'Sep') //.replace('Oct', 'Oct') //.replace('Nov', 'Nov') .replace('Dec', 'Dic') element.textContent = translatedDate; }); } // Reconnect the observer after the DOM changes are made if (observer) observer.observe(document.body, { childList: true, subtree: true }); } // Function to observe DOM changes and re-run translation function observeDOMChanges() { const targetNode = document.body; const config = { childList: true, subtree: true }; // Watching for changes in the DOM subtree const callback = function(mutationsList, observer) { for (let mutation of mutationsList) { if (mutation.type === 'childList') { translateDateToES(observer); // Re-run the translation function } } }; const observer = new MutationObserver(callback); observer.observe(targetNode, config); // Initial translation on page load translateDateToES(observer); } // Start observing changes on the page observeDOMChanges(); -->