Ciberseguridad en Chile: panorama, leyes y retos actuales

Informatec Digital » Recursos » Ciberseguridad en Chile: panorama, leyes y retos actuales

La ciberseguridad en Chile ha pasado en poco tiempo de ser un tema casi exclusivo de técnicos e informáticos a convertirse en una preocupación diaria para empresas, administraciones públicas y ciudadanía. El país ha sufrido incidentes de alto impacto y, al mismo tiempo, ha impulsado un marco legal pionero en la región que está cambiando por completo la forma de entender la protección del entorno digital.

En los últimos años, el vertiginoso proceso de transformación digital, la adopción de servicios en la nube y el aumento del teletrabajo han ampliado la superficie de ataque disponible para los ciberdelincuentes. Aunque las cifras globales de intentos de intrusión en América Latina parecen haberse moderado, los ataques son hoy mucho más dirigidos, rentables para los atacantes y capaces de paralizar servicios esenciales si las defensas no están a la altura.

Panorama de la ciberseguridad en Chile y América Latina

En toda la región, el ecosistema digital ha crecido de forma exponencial: nuevos servicios online, digitalización de productos tradicionales, despliegue masivo de dispositivos conectados y una adopción acelerada de tecnologías innovadoras. Todo ello convierte el entorno digital latinoamericano en un terreno especialmente atractivo para el delito informático.

Según datos de Fortinet, en 2022 se registraron más de 360 mil millones de intentos de ciberataques en América Latina y el Caribe, mientras que en 2023 esa cifra bajó a unos 200 mil millones. Aun con este descenso cuantitativo, los países con mayor actividad ofensiva se mantuvieron en la parte alta de la tabla: México, Brasil y Colombia concentraron buena parte de los incidentes detectados.

Esta aparente mejora tiene truco: los informes señalan que la cantidad total de intentos se reduce, pero la precisión aumenta. Los atacantes dejan de disparar a todo lo que se mueve para centrar sus recursos en objetivos específicos, con campañas más sofisticadas y mejor preparadas, buscando maximizar el retorno de cada intrusión.

El ransomware sigue ocupando una posición protagonista en el panorama de amenazas. Lejos de ser cosa del pasado, estas campañas de secuestro de datos se han refinado y combinan técnicas clásicas con ingeniería social, movimiento lateral silencioso y filtración previa de información con valor económico o estratégico.

La consecuencia directa de todo este contexto es que las organizaciones con defensas fragmentadas, manuales u obsoletas quedan especialmente expuestas. Sin soluciones de ciberseguridad integradas, automatizadas y actualizadas, la probabilidad de sufrir un incidente grave se multiplica, especialmente en sectores con servicios esenciales o infraestructuras críticas.

Situación de las empresas chilenas frente a los ciberataques

En el caso concreto de Chile, diversos estudios apuntan a que un porcentaje significativo del tejido productivo ya ha sufrido incidentes. Cuatro de cada diez empresas habrían sido víctimas de algún tipo de ataque en los últimos años, y en aproximadamente el 90 % de los casos el vector principal habría sido el phishing.

El país se sitúa entre los más vulnerables de Latinoamérica en materia de engaños por correo electrónico y mensajería, alcanzando del orden de cuatro mil ataques de este tipo al mes en 2022. Mucho más que un problema puntual, esto refleja una combinación peligrosa de altos niveles de digitalización y bajo grado de conciencia en parte de la población y del tejido empresarial.

Los episodios sufridos por organismos públicos chilenos han puesto en evidencia la fragilidad de ciertos sistemas. Casos sonados como el hackeo al Estado Mayor Conjunto, que dejó al descubierto información sensible relacionada con la seguridad nacional, o el ataque al SERNAC, que dejó inoperativos sus sistemas durante casi dos semanas, muestran que ni el sector público ni el privado están a salvo.

También el Poder Judicial experimentó incidentes de seguridad con impacto operativo, subrayando que la ciberseguridad no es solo una cuestión de servidores o redes, sino de continuidad institucional y confianza ciudadana. Episodios de este tipo afectan la percepción pública sobre la solidez del Estado frente a las amenazas digitales.

Uno de los grandes problemas de fondo es el desconocimiento generalizado sobre la protección de datos y buenas prácticas digitales. Muchas personas y pequeñas empresas siguen viendo la ciberseguridad como algo lejano, casi teórico, y no como un elemento básico de su actividad diaria. Esto retrasa la adopción de medidas preventivas y deja abierta la puerta a ataques relativamente sencillos.

En paralelo, diferentes informes globales, como los de IBM, calculan que el coste medio de una filtración de datos superó los 4 millones de dólares en 2022, alcanzando máximos históricos. Este impacto económico —que incluye interrupción de servicios, pérdida de reputación, sanciones y recuperación— demuestra que el negocio de los atacantes es rentable y que las organizaciones, sin excepción, están en el punto de mira.

Principales tipos de ciberataques que afectan a Chile y la región

Latinoamérica ha escalado posiciones en los indicadores globales de incidentes, pasando a ocupar un lugar destacado entre las regiones más atacadas del mundo. De acuerdo con informes de inteligencia de amenazas como el X-Force Threat Intelligence Index, el ransomware concentra alrededor de un tercio de los incidentes, pero convive con muchos otros vectores que también golpean con fuerza en Chile.

El ransomware consiste en la infección de sistemas para cifrar datos, inutilizar equipos o bloquear procesos críticos. A cambio de la supuesta restauración, los delincuentes exigen un pago —generalmente en criptomonedas—, y a menudo amenazan con publicar la información robada. Casos globales como WannaCry mostraron hasta qué punto un ataque de este tipo puede paralizar tanto empresas privadas como organismos públicos en cuestión de horas.

El phishing y otras técnicas de ingeniería social se han convertido en la puerta de entrada preferida para muchos atacantes. Correos, SMS o mensajes en redes sociales imitando a bancos, servicios de paquetería, instituciones públicas o incluso jefes directos logran que el usuario facilite credenciales, datos de tarjetas o descargue archivos maliciosos creyendo que está ante una comunicación legítima.

Bajo el paraguas de malware se agrupan virus, troyanos, spyware, adware, botnets y otros códigos diseñados para comprometer dispositivos y redes. Con frecuencia se camuflan como programas legítimos, documentos adjuntos o actualizaciones aparentemente inocuas. Una vez instalados, permiten el control remoto del equipo, el robo de información o la incorporación a redes de dispositivos zombis.

Los ataques de denegación de servicio distribuida (DDoS) buscan tumbar páginas web, plataformas de comercio electrónico o servicios en línea saturando su capacidad de respuesta. Su efecto para las organizaciones puede ir desde la pérdida de ventas a un fuerte deterioro de la imagen pública, especialmente cuando afectan a servicios de atención ciudadanía o clientes.

En el nivel más silencioso se encuentran las amenazas persistentes avanzadas (APT), ataques sofisticados en los que uno o varios intrusos se infiltran en una red y permanecen ocultos el máximo tiempo posible. Durante ese periodo observan, exfiltran información estratégica y preparan movimientos posteriores, todo ello minimizando cualquier señal que pudiera alertar a los sistemas de defensa.

Otro vector relevante son los ataques de man-in-the-middle, en los que el agresor se sitúa entre dos extremos de una comunicación —por ejemplo, entre un usuario y un sitio web— interceptando y manipulando el tráfico. Con esta técnica pueden espiar datos sensibles o suplantar la identidad de alguna de las partes.

Por último, no se puede pasar por alto el papel de las amenazas internas. Empleados descontentos, contratistas con acceso excesivo, errores humanos al manejar información en papel o dispositivos sin protección… Todo ello puede desencadenar incidentes tan graves como los originados desde el exterior, y a menudo es más difícil de detectar a tiempo.

Marco normativo e institucional de la ciberseguridad en Chile

Mientras que la Unión Europea lleva años desplegando un marco legal robusto en materia de seguridad digital, en América Latina el desarrollo normativo ha sido más desigual. Algunos proyectos de ley en la región han despertado críticas por el riesgo de afectar derechos fundamentales, armando estructuras de control excesivo bajo el paraguas de la ciberseguridad.

Chile, sin embargo, ha decidido apostar por un enfoque más equilibrado y se ha situado a la vanguardia regional con la promulgación de la Ley 21.663 de Ciberseguridad e Infraestructura Crítica de la Información. Esta norma, promulgada el 26 de marzo de 2024 y publicada en el Diario Oficial el 8 de abril, se considera el primer marco integral de la región específicamente diseñado para hacer frente a la escalada de ciberataques.

La ley viene acompañada de la Política Nacional de Ciberseguridad 2023-2028, que fija las líneas maestras de actuación del país en este ámbito. Ambos instrumentos funcionan como pilares complementarios: la ley establece obligaciones, competencias y sanciones, mientras que la política articula objetivos estratégicos, cooperación interinstitucional y acciones a medio y largo plazo.

Conviene recordar que Chile ya contaba con la Ley 21.459 de Delitos Informáticos, aprobada en 2022, que actualizó el código penal adaptándolo a los estándares del Convenio de Budapest. Esta norma introdujo nuevos tipos delictivos, como el acceso ilícito a sistemas o la interferencia en datos, y reforzó el abanico de sanciones aplicables a los ciberdelincuentes.

En paralelo, se discute un proyecto de nueva ley de protección de datos personales, orientado a modernizar el marco actual y alinearlo con referentes como el Reglamento General de Protección de Datos europeo (RGPD). Esta iniciativa obligará a las organizaciones a implantar medidas técnicas y organizativas más exigentes para garantizar la privacidad y seguridad de la información que tratan.

Además de leyes y políticas específicas, Chile dispone de una Política Nacional de Ciberseguridad que subraya la necesidad de cooperación público-privada, desarrollo de capacidades humanas y refuerzo de las infraestructuras críticas. El objetivo es articular un enfoque de país, en el que la seguridad digital deje de ser un asunto silencioso y se convierta en una meta compartida.

La Ley chilena 21.663: contenido, principios y nuevo modelo institucional

Con la puesta en marcha de la Ley 21.663, Chile se posiciona como país pionero en la región en contar con un marco integral de ciberseguridad. No se trata solo de tipificar delitos o enumerar sanciones, sino de crear una arquitectura institucional capaz de prevenir, coordinar y responder de manera eficiente ante incidentes que afecten a servicios esenciales.

Uno de los elementos centrales de la norma es la creación de la Agencia Nacional de Ciberseguridad (ANCI), un organismo especializado con funciones claramente delimitadas en materia regulatoria, de supervisión y de sanción. Esta agencia tendrá la responsabilidad de velar por el cumplimiento de las exigencias de ciberseguridad aplicables tanto al sector público como a las entidades privadas que presten servicios esenciales.

Junto a la ANCI, la ley fortalece la figura del Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), tanto a nivel nacional como de defensa. Estos equipos actuarán como punto neurálgico en la gestión de incidentes, canalizando las notificaciones obligatorias de ciberataques y coordinando la respuesta técnica necesaria para contener, erradicar y recuperar los sistemas afectados.

La dirección de la ANCI y de los CSIRT estará en manos de mandos civiles designados mediante el Sistema de Alta Dirección Pública, garantizando un perfil profesional y evitando que la ciberseguridad quede circunscrita exclusivamente al ámbito militar o policial. No obstante, se prevé una estrecha colaboración con las fuerzas de seguridad para las tareas que así lo requieran.

Un aspecto clave es que todas las entidades que prestan servicios esenciales —sean públicas o privadas— deberán adoptar medidas robustas de prevención, detección y respuesta. Entre sus obligaciones se incluye la de informar sin demora de cualquier incidente relevante al CSIRT nacional, algo esencial para activar una respuesta temprana y minimizar los daños.

Durante el trámite parlamentario, el proyecto de ley se nutrió de aportaciones de la industria, la academia y organizaciones especializadas. Este enfoque participativo permitió pulir el texto, incorporar experiencias internacionales y reforzar la visión holística, algo imprescindible en un ámbito tan transversal como la ciberseguridad.

Principios rectores y alineación con estándares internacionales

La normativa chilena se construye sobre una serie de principios rectores que buscan equilibrar protección eficaz, respeto a los derechos y viabilidad operativa para el sector privado. No se trata de poner trabas burocráticas, sino de fijar reglas claras para todos los actores implicados.

En primer lugar, la ley adopta un enfoque basado en el riesgo, tomando como referencia las recomendaciones de organismos como la International Telecommunication Union (ITU) y el National Institute of Standards and Technology (NIST). Esto se traduce en obligaciones graduadas según la criticidad y exposición de cada entidad, evitando cargar a las empresas con requisitos desproporcionados a su tamaño o actividad.

La definición de ciberseguridad se ancla en la seguridad de la información en línea con las normas de la International Organization for Standardization (ISO). Confidencialidad, integridad y disponibilidad siguen siendo los tres pilares sobre los que se construyen las exigencias técnicas y organizativas.

La propia ANCI debe actuar respetando el principio de racionalidad: las medidas que adopte han de ser necesarias y proporcionadas al nivel de riesgo y al posible impacto social y económico. Además de supervisar y sancionar, la agencia tendrá competencias para impulsar campañas de concienciación ciudadana, reforzando el componente educativo.

Otro de los principios clave es el de seguridad y privacidad por defecto y desde el diseño. Los sistemas informáticos, aplicaciones y soluciones tecnológicas deberán concebirse desde el inicio con salvaguardas incorporadas, de forma que la protección de los datos personales no sea un añadido de última hora, sino un requisito estructural.

La ley también establece que las infracciones se sancionarán conforme a los procedimientos de la legislación sectorial correspondiente, coordinando la actuación de la ANCI con las autoridades de cada ámbito (telecomunicaciones, financiero, etc.). Esto evita duplicidades y solapamientos en la fiscalización, especialmente en el sector TIC, donde ya existe abundante normativa específica.

Finalmente, se articula un esquema de cooperación para la resolución de incidentes, en el que las entidades deben colaborar con la autoridad competente y aplicar acciones de contención y control de daños. La idea es que nadie pueda mirar hacia otro lado cuando se produce un ataque que compromete la prestación de servicios fundamentales.

Rol del Estado, sector privado y ciudadanía en la ciberseguridad

La mejora de la ciberseguridad no puede delegarse exclusivamente en un ministerio o una agencia especializada. Debe formar parte de la agenda estratégica de los gobiernos, al mismo nivel que la estabilidad económica o la seguridad física, porque hoy la dimensión digital atraviesa prácticamente todos los ámbitos de la vida.

Los Estados están llamados a diseñar estrategias nacionales coherentes con las mejores prácticas internacionales, promover la formación de profesionales altamente cualificados y dotar de recursos estables a las agencias especializadas. También resulta vital impulsar la cooperación entre países para perseguir el delito transnacional y compartir información sobre amenazas emergentes.

Sin embargo, ni siquiera un Estado muy avanzado puede garantizar por sí solo una protección completa. La responsabilidad se reparte entre todos los actores del ciberespacio: grandes corporaciones, pymes, proveedores de servicios, instituciones educativas y cada persona usuaria de Internet. Un eslabón débil en la cadena puede generar una brecha explotable para comprometer sistemas mucho más críticos.

En el terreno empresarial, la ciberseguridad deja de ser un gasto reactivo para convertirse en una inversión estratégica. Proteger la información de clientes, empleados y socios, evitar interrupciones de servicio y asegurar el cumplimiento normativo son factores que repercuten directamente en la competitividad y en la confianza del mercado.

La colaboración público-privada se presenta como una de las grandes oportunidades de mejora. Compartir indicadores de compromiso, buenas prácticas, herramientas y lecciones aprendidas permite elevar el nivel medio de protección y responder con mayor rapidez a campañas masivas o incidentes que afecten a infraestructuras críticas.

Estrategias y buenas prácticas para empresas en Chile

Más allá de cumplir lo que marcan las leyes, las organizaciones chilenas necesitan integrar la ciberseguridad en su gestión diaria. No basta con instalar un antivirus y olvidarse del tema: hace falta una estrategia que combine tecnología, procesos y personas.

Un primer paso imprescindible es realizar evaluaciones de riesgo periódicas. Conocer qué activos son más críticos, qué sistemas están más expuestos y cuáles son los posibles puntos de entrada del atacante ayuda a priorizar inversiones y a centrar los esfuerzos en aquello que realmente puede parar la operativa.

En el plano tecnológico, resulta esencial desplegar soluciones de protección avanzadas: cortafuegos de nueva generación, sistemas de detección y prevención de intrusiones, monitorización continua, soluciones antimalware y herramientas de gestión de vulnerabilidades. Cada organización deberá ajustar el conjunto según su tamaño y sector, pero el objetivo común es tener visibilidad y capacidad de reacción temprana.

La formación del personal es un factor crítico. Los empleados son la primera línea de defensa, pero también la principal vía de entrada si no están bien sensibilizados. Programas de capacitación en detección de correos fraudulentos, manejo seguro de contraseñas, protección de dispositivos móviles o gestión de información sensible pueden marcar la diferencia.

Resulta igualmente importante contar con un plan de respuesta a incidentes claro y probado. Saber quién hace qué, a quién se notifica, qué sistemas se aíslan y cómo se comunica con clientes, proveedores y autoridades reduce el caos cuando ocurre un ataque y facilita que la organización retome la normalidad en el menor tiempo posible.

La ciberseguridad es dinámica: las amenazas evolucionan constantemente. Por ello, revisar y actualizar políticas, procedimientos y tecnologías debe ser algo recurrente, no una tarea que se acometa una vez cada varios años. Auditorías internas, revisiones de cumplimiento y simulacros de ataque ayudan a mantener el sistema en forma.

Medidas sencillas como mantener el software actualizado, evitar el uso de sistemas sin soporte, renovar regularmente las contraseñas, proteger los móviles corporativos o hacer copias de seguridad frecuentes siguen siendo fundamentales. Aunque parezcan básicas, muchas brechas graves se originan precisamente en la falta de estos mínimos.

Otro aspecto a no descuidar es el uso de redes Wi-Fi seguras. Trabajar con información sensible desde conexiones públicas abiertas incrementa el riesgo de interceptación de datos. En la medida de lo posible, conviene utilizar redes privadas o soluciones como VPN corporativas para cifrar las comunicaciones.

Por último, la educación continua del equipo es la pieza que termina de encajar el puzzle. Recordatorios periódicos, simulaciones de phishing, sesiones de actualización y canales abiertos para reportar incidentes o dudas ayudan a construir una cultura de seguridad compartida, en la que cada persona entiende su papel en la protección de la organización.

La ciberseguridad en Chile se encuentra en un momento clave: por un lado, el país ha logrado avanzar hacia un marco normativo e institucional de referencia en la región; por otro, empresas y ciudadanos siguen enfrentándose a un entorno de amenazas cada vez más sofisticado. Integrar la seguridad digital como parte natural de la gestión, impulsar la colaboración entre sectores y reforzar la formación en todos los niveles se perfila como el camino más sólido para proteger derechos, servicios esenciales y la estabilidad económica en un mundo crecientemente conectado.