Ley 21.663 · Ciberseguridad

Ley Marco de Ciberseguridad en Chile: Lo que toda empresa debe saber sobre la Ley 21.663

10 min de lectura
Equipo Yourdevs

Chile ya tiene su Ley Marco de Ciberseguridad. La Ley 21.663, publicada el 8 de abril de 2024 y vigente desde el 1 de marzo de 2025, crea la Agencia Nacional de Ciberseguridad (ANCI) y establece por primera vez un marco legal obligatorio para proteger las redes, sistemas informáticos y servicios críticos del país. Si bien las obligaciones más exigentes recaen sobre empresas que prestan servicios esenciales, la ley es relevante para cualquier negocio que dependa de sus sistemas informáticos para operar. Y en 2025, eso es prácticamente toda empresa.

Artículo relacionado Esta ley es complementaria a la Ley 21.719 de Protección de Datos. Leer artículo
01

¿Qué es la Ley Marco de Ciberseguridad?

El primer marco legal de ciberseguridad en Chile

Hasta 2024, Chile no contaba con una ley específica de ciberseguridad. Las empresas operaban sin obligaciones formales de reporte de incidentes ni estándares mínimos de seguridad exigibles. La Ley 21.663 cambia ese escenario: publicada el 8 de abril de 2024 y vigente desde el 1 de marzo de 2025, establece el primer marco legal obligatorio para la protección de redes, sistemas informáticos y servicios críticos del país.

La ley crea tres nuevas instituciones que articulan todo el sistema:

ANCI
Agencia Nacional de Ciberseguridad: servicio público descentralizado que asesora al Presidente, coordina la respuesta a incidentes y fiscaliza el cumplimiento de la ley.
CSIRT Nacional
Equipo técnico operativo que responde a ciberataques de efecto significativo. Es el punto de contacto para la notificación de incidentes bajo los plazos legales.
Comité Interministerial
Órgano colegiado que asesora al Ejecutivo en la elaboración y seguimiento de la Política Nacional de Ciberseguridad.
Operadores de Importancia Vital (OIV)
Categoría especial de sujetos obligados, calificada formalmente por la ANCI cada 3 años. Tienen obligaciones reforzadas y las multas más altas del régimen sancionatorio.

Ocho principios que guían la ley

Todo el marco normativo se articula sobre principios que determinan cómo interpretar y aplicar las obligaciones:

  • Seguridad y privacidad por defecto y desde el diseño: los sistemas deben proteger activamente desde su concepción.
  • Racionalidad: las obligaciones son proporcionales al nivel de riesgo de cada entidad.
  • Responsabilidad: quien provee servicios digitales asume responsabilidad por su seguridad.
  • Protección integral: considera tanto dimensiones técnicas como humanas y organizacionales.
  • Cooperación y coordinación: el Estado y el sector privado colaboran en la respuesta a incidentes.
  • Especificidad de la función: las medidas se adaptan al tipo de actividad de cada entidad.
  • Continuidad de servicios: los servicios esenciales deben mantener operación ante incidentes.
  • Actualización permanente: los estándares evolucionan con el escenario de amenazas.

El concepto clave: incidente de ciberseguridad de efecto significativo

La ley define como incidente de ciberseguridad de efecto significativo todo evento capaz de interrumpir un servicio esencial, afectar la integridad física o la salud de personas, o comprometer sistemas que contengan datos personales. Esta última condición conecta directamente con la Ley 21.719 de Protección de Datos (vigente en diciembre de 2026): ambas leyes son complementarias y en muchos casos las mismas empresas deben cumplir con las dos.

02

¿A quiénes obliga formalmente y por qué igual te afecta?

Los dos grandes grupos de obligados

La ley distingue dos categorías de sujetos con obligaciones formales directas:

Prestadores de servicios esenciales: organismos del Estado, concesionarios de servicios públicos y operadores privados en sectores de electricidad, telecomunicaciones, infraestructura digital, transporte, banca, salud, farmacia, agua potable y servicios postales.

Operadores de Importancia Vital (OIV): empresas formalmente calificadas por la ANCI mediante un proceso que considera tamaño (con condiciones especiales para PYMEs), nivel de dependencia de los servicios, impacto potencial de un incidente y el número de usuarios afectados. La calificación se revisa al menos cada tres años.

Tres razones por las que la ley te afecta aunque no seas obligado formal

Incluso si tu empresa no está formalmente obligada, hay factores que amplían su relevancia práctica:

  • Cadena de suministro: los organismos públicos y prestadores de servicios esenciales deben exigir a sus proveedores tecnológicos compartir información sobre vulnerabilidades e incidentes. Si vendes tecnología al Estado, ya eres parte del ecosistema regulado.
  • Convergencia con Ley 21.719: ambas leyes exigen medidas de seguridad para proteger datos personales. Cumplir una facilita cumplir la otra. No prepararse para ninguna de las dos multiplica el riesgo.
  • Riesgo real sin discriminar tamaño: el ransomware, el phishing y los ataques de supply chain no preguntan si eres OIV o PYME. El 60% de las PYMEs afectadas por ransomware cierran en los 6 meses siguientes al ataque.

El régimen sancionatorio: multas que escalan por tamaño y reincidencia

La Ley 21.663 establece tres categorías de infracciones con multas en Unidades Tributarias Mensuales (UTM). Para los OIV, las multas se duplican en la categoría más grave:

Categoría Multa máxima (general) Multa máxima (OIV)
Leve Hasta 5.000 UTM Hasta 5.000 UTM
Grave Hasta 20.000 UTM Hasta 20.000 UTM
Gravísima Hasta 20.000 UTM Hasta 40.000 UTM

La reincidencia es circunstancia agravante y puede duplicar la multa aplicada. La ANCI puede publicar sus resoluciones, generando impacto reputacional adicional al económico.

03

¿Cómo prepararse? Enfoque tecnológico

Obligaciones formales para sujetos obligados

Las entidades formalmente obligadas deben implementar los protocolos y estándares que dicte la ANCI, designar un delegado de ciberseguridad responsable del cumplimiento, y mantener planes de continuidad operacional documentados y probados.

El elemento más crítico desde el punto de vista operacional son los plazos de reporte de incidentes al CSIRT Nacional:

3 h
Alerta temprana
Desde el momento en que la organización toma conocimiento del incidente significativo.
72 h
Actualización
Informe de actualización con alcance inicial y medidas adoptadas. Para OIV con servicio afectado, el plazo se reduce a 24 horas.
15 d
Informe final
Informe completo desde la alerta temprana con análisis de causa raíz y medidas de mitigación implementadas.

7 medidas técnicas para cumplir la ley

Las siguientes medidas cubren los requisitos técnicos centrales de la Ley 21.663 y son implementables con las herramientas del ecosistema Microsoft, accesibles para empresas de cualquier tamaño:

Gestión de identidades y accesos MFA
Implementar autenticación multifactor en todas las cuentas de Microsoft 365. El robo de credenciales es el vector de entrada más común. Sin MFA, una contraseña filtrada basta para comprometer toda la organización.
Gestión de vulnerabilidades Intune
Microsoft Intune permite aplicar políticas de actualización automática en todos los dispositivos corporativos. Los sistemas sin parches son la segunda causa de brechas de seguridad después del phishing.
Protección del endpoint Defender
Microsoft Defender for Business proporciona antimalware, detección de comportamientos anómalos y respuesta automatizada en equipos y servidores. Incluye alertas en tiempo real para los plazos de notificación de la ley.
Segmentación de red Acceso por rol
Implementar controles de acceso basados en roles (RBAC) con Microsoft Entra ID y acceso condicional. Limitar quién puede acceder a qué sistema reduce el impacto lateral de un ataque exitoso.
Plan de continuidad operacional Azure + OneDrive
Azure Backup y el versionado de OneDrive permiten recuperar datos ante ransomware o falla catastrófica. Un plan documentado y probado es requisito explícito de la ley y habilita el reporte dentro de los plazos de 3h / 72h / 15d.
Registros de auditoría M365 Audit
Microsoft 365 registra automáticamente quién accedió, modificó o eliminó qué dato y cuándo. Estos logs son la evidencia técnica necesaria para los informes de incidente que exige la ley.
Capacitación del equipo Simulaciones
Simulaciones de phishing anuales y campañas de higiene cibernética. El factor humano es responsable del 82% de los incidentes exitosos según el Verizon DBIR 2024. La ley incluye la capacitación como obligación explícita.

Yourdevs implementa Microsoft 365 y Defender para cumplimiento de la Ley 21.663. Configuramos protecciones, capacitamos al equipo y documentamos el plan de respuesta a incidentes.

Ver Ciberseguridad
04

¿Qué empresas tienen más exposición?

La exposición a la Ley 21.663 tiene dos dimensiones: exposición legal formal (riesgo de multas directas) y exposición práctica (riesgo real de sufrir un incidente con impacto grave). Ninguna empresa debería ignorar la segunda dimensión, independientemente de si está formalmente obligada.

Salud Legal alta
Clínicas, laboratorios, farmacias y prestadores médicos son servicios esenciales bajo la ley. Tratan datos sensibles de salud y cualquier interrupción tiene consecuencias directas en la seguridad de pacientes. Doble obligación con Ley 21.719.
Finanzas Legal alta
Banca, cajas de compensación, fintechs y corredoras entran como prestadores de servicios esenciales. Los ataques al sistema financiero son el objetivo más frecuente a nivel global. Obligaciones cruzadas con CMF y SBIF.
Telecomunicaciones Legal alta
Operadores de telefonía, internet y TV cable son servicios esenciales. Sus infraestructuras son vector de ataque para comprometer a sus clientes empresariales.
Energía Legal alta
Empresas eléctricas, gaseras y distribuidoras son servicios esenciales. Un ciberataque exitoso a infraestructura energética tiene impacto físico directo en la población.
Proveedores TI del Estado Práctica alta
Empresas que proveen software, infraestructura cloud o servicios gestionados a organismos públicos están en la cadena de suministro crítica. Los organismos públicos deben exigir a sus proveedores cumplir estándares de la ley.
Retail y e-commerce Práctica alta
Grandes bases de clientes y datos de medios de pago los convierten en blancos atractivos. El ransomware en retail puede paralizar operaciones completamente. Exposición cruzada con Ley 21.719 por datos personales masivos.
Educación Práctica alta
Colegios y universidades manejan datos de menores y tienen infraestructuras IT a menudo desprotegidas. Son blanco habitual de ransomware. Cuando procesan datos de menores, la exposición bajo Ley 21.719 también es máxima.
Logística y transporte Práctica alta
La digitalización de operaciones logísticas crea dependencias críticas de sistemas IT. Un ataque puede paralizar cadenas de suministro completas. Los operadores de transporte crítico pueden quedar bajo la categoría OIV.

Plan de mitigación en 5 pasos

Independientemente del sector, este es el camino mínimo para reducir exposición ante la Ley 21.663 y ante el riesgo real de un ciberataque:

  • 1
    Diagnóstico de superficie de ataque
    Identificar todos los sistemas, aplicaciones, cuentas de usuario y datos sensibles expuestos. Sin este mapa, no es posible priorizar medidas. Yourdevs ejecuta este diagnóstico en 5 días hábiles.
  • 2
    Activar protecciones básicas
    MFA en todas las cuentas, antivirus actualizado con detección de comportamiento, y backups automáticos probados. Estas tres medidas bloquean el 90% de los vectores de ataque más comunes.
  • 3
    Documentar plan básico de respuesta a incidentes
    Un documento de 2-3 páginas con: quién notifica al CSIRT, cómo se activa la alerta, quién coordina la comunicación interna y externa. Sin este plan, cumplir los plazos de 3h y 72h es imposible en la práctica.
  • 4
    Capacitar al equipo al menos una vez al año
    Simulación de phishing + sesión de concientización sobre higiene digital. El error humano es la puerta de entrada en 4 de cada 5 ataques exitosos. La ley lo exige explícitamente para los sujetos obligados.
  • 5
    Revisar contratos con proveedores tecnológicos
    Si tu empresa es prestador de servicios esenciales u OIV, tus contratos con proveedores de cloud, software y TI deben incluir cláusulas de seguridad y reporte de incidentes. Si eres proveedor de estas entidades, prepárate para que te lo exijan.

Nota: que tu empresa no sea formalmente obligada hoy no significa que no lo será mañana. La ANCI revisa la calificación de OIV al menos cada 3 años y puede ampliar el universo de obligados. Prepararse desde ahora tiene costo mucho menor que adaptarse bajo presión regulatoria o después de sufrir un incidente.

Datos de referencia verificados

Dato Valor
Número de ley Ley 21.663
Nombre oficial Ley Marco de Ciberseguridad
Publicación 8 de abril de 2024
Vigencia 1 de marzo de 2025
Nueva autoridad Agencia Nacional de Ciberseguridad (ANCI)
Equipo técnico CSIRT Nacional
Plazo alerta temprana 3 horas desde conocimiento del incidente
Plazo actualización 72 horas (24 horas para OIV con servicio afectado)
Plazo informe final 15 días corridos desde alerta temprana
Multa gravísima (OIV) Hasta 40.000 UTM
Revisión OIV Al menos cada 3 años
Ley complementaria Ley 21.719 (vigente dic. 2026)

¿Tu empresa ya tiene un plan de ciberseguridad?

La Ley 21.663 ya está vigente. Una evaluación gratuita puede mostrarte en qué punto está tu empresa y qué medidas implementar primero.

Agendar evaluación gratuita Hablar por WhatsApp
Volver al Blog
Ver también: Ley 21.719 Servicios de Ciberseguridad
WhatsApp