Ciberseguridad por ley: qué significa para Chile la Ley N° 21.663

Columna de análisis · Por Peter Schneider · Schneider Abogados · Actualizada en junio de 2026

Conviene empezar por despejar un equívoco frecuente. Mucha gente sigue hablando de la "nueva ley de ciberseguridad" como si fuera un proyecto en camino o una norma recién estrenada que aún no toca a nadie. No es así. La Ley N° 21.663, que lleva el nombre formal de Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información, se publicó en el Diario Oficial el 8 de abril de 2024 y entró en vigencia de manera escalonada, con sus piezas centrales operativas desde marzo de 2025. Es decir: cuando se escriben estas líneas, ya es derecho vigente, con una agencia funcionando, deberes exigibles y un calendario de implementación en marcha. La pregunta dejó de ser si Chile tendría una ley de ciberseguridad y pasó a ser qué tan bien la sabremos aplicar.

Detenerse en esa transición —de la recomendación a la obligación— no es un detalle formal. Marca un cambio de paradigma que vale la pena examinar con calma, porque sus efectos exceden largamente al mundo de los abogados y de los ingenieros en seguridad. Una ley que define qué empresas son críticas para el país, que las obliga a reportar sus incidentes en cuestión de horas y que respalda esos deberes con multas millonarias, está reordenando incentivos en toda la economía digital. Y lo hace en un momento en que la dependencia de lo digital es total y los ataques, lejos de ser una hipótesis, son una rutina.

Por qué Chile llegó hasta aquí

Ninguna ley nace en el vacío, y esta menos que muchas. Durante la última década, Chile vivió una digitalización acelerada de prácticamente todos sus servicios esenciales. La banca migró a aplicaciones móviles y transferencias instantáneas; el Estado trasladó trámites enteros a plataformas en línea; la salud incorporó fichas clínicas electrónicas e interconexión de datos; el suministro eléctrico, el agua potable y las telecomunicaciones pasaron a depender de sistemas de control y monitoreo que conversan permanentemente a través de redes. Esa modernización trajo enormes beneficios de eficiencia y acceso, pero también construyó una superficie de exposición inédita: cada servicio digitalizado es, a la vez, un servicio atacable.

El país aprendió esa lección a golpes. Filtraciones de datos de clientes bancarios, intrusiones en sistemas estatales, ataques de tipo ransomware que paralizaron operaciones, fugas de correos institucionales: la crónica de estos años está poblada de episodios que mostraron una verdad incómoda. La protección dependía, en buena medida, de la madurez voluntaria de cada organización, y no existía una autoridad con competencia técnica, potestades reales y una visión de conjunto del problema. Cuando un incidente golpeaba a una empresa crítica, no había un protocolo claro de a quién avisar, en qué plazo, con qué información ni con qué consecuencias. Cada cual reaccionaba como podía, y el país se enteraba —cuando se enteraba— de manera fragmentaria y tardía.

A ese diagnóstico interno se sumó una presión externa. La comunidad internacional venía empujando estándares comunes de ciberseguridad, y Chile, que aspira a integrarse en cadenas de valor globales y a ser destino confiable de inversión y de datos, no podía quedarse atrás. La adhesión del país al Convenio de Budapest sobre ciberdelincuencia, la modernización de su legislación penal sobre delitos informáticos mediante la Ley N° 21.459, y la alineación con las recomendaciones de organismos como la OCDE, fueron pavimentando el camino. La Ley N° 21.663 es, en este sentido, la pieza que faltaba: si la 21.459 dice cómo se castiga al que ataca, la 21.663 dice cómo nos organizamos para prevenir, resistir y responder. Una mira al delincuente; la otra, a la resiliencia del sistema.

Hay también una dimensión menos visible, pero igual de relevante, en este recorrido: la del Estado mirándose a sí mismo. Buena parte de la infraestructura crítica de un país no está solo en manos privadas; muchos de los servicios más sensibles los presta o los regula el propio Estado. Una ley de ciberseguridad seria obligaba, por tanto, a que el Estado se sometiera a sus propias reglas, asumiendo deberes y exponiéndose a la fiscalización de una agencia técnica. Esa autoexigencia —que un gobierno acepte ser vigilado en su seguridad digital— es, en términos institucionales, un paso de madurez que no debe darse por descontado.

Qué hace realmente la ley

Despejada la historia, conviene mirar el contenido sin tecnicismos innecesarios, porque el corazón de la norma se entiende bien si uno separa tres movimientos: crea una institucionalidad, define a quién obliga y establece qué deberes impone, todo respaldado por un régimen de sanciones.

El primer movimiento es institucional. La ley crea la Agencia Nacional de Ciberseguridad, conocida por su sigla ANCI, y le entrega algo que en Chile no existía: rectoría con poder. La ANCI no es un comité asesor ni una mesa de coordinación de buenas intenciones. Dicta normas técnicas de cumplimiento obligatorio, fiscaliza a las organizaciones sujetas a la ley, instruye procedimientos y aplica sanciones. Junto a ella, la ley institucionaliza el CSIRT Nacional, el equipo de respuesta ante incidentes de seguridad informática, que opera como punto de contacto y coordinación cuando ocurre un ataque, articulándose con equipos sectoriales y con sus pares de otros países. La lógica es simple y poderosa: ante una crisis digital, debe existir alguien que reciba la alerta, ordene la respuesta y conecte a los actores. Antes, ese "alguien" no estaba claramente definido.

El segundo movimiento es delimitar el universo de obligados, y aquí la ley es deliberadamente selectiva. No pretende regular a toda empresa con un computador, sino a quienes sostienen funciones de las que depende la sociedad. Distingue, por un lado, a los prestadores de servicios esenciales —en sectores como energía, agua, telecomunicaciones, salud, banca y servicios financieros, transporte y la propia Administración del Estado— y, por otro, a los Operadores de Importancia Vital, una categoría más exigente reservada a aquellas organizaciones cuya afectación tendría un impacto especialmente grave o prolongado en la población o en la economía. La condición de Operador de Importancia Vital no es automática ni autodeclarada: la califica la ANCI mediante resolución, con criterios que la propia ley fija. Esa decisión administrativa es jurídicamente densa, porque al definir quién es "vital" determina el nivel de deberes, los costos de cumplimiento y la exposición a sanciones de cada organización. De ahí que, para muchas empresas, la primera pregunta práctica sea casi existencial: ¿estoy dentro del perímetro de la ley, y con qué intensidad?

El tercer movimiento es el que cambia el día a día: los deberes. La ley exige, en términos generales, adoptar y mantener medidas de seguridad técnicas y organizativas proporcionales al riesgo, elaborar planes de continuidad y de respuesta a incidentes, y designar a un encargado de ciberseguridad que sirva de interlocutor responsable ante la autoridad. Pero el deber más comentado, y el que mejor ilustra el cambio de cultura, es el de reportar los incidentes de efecto significativo. Frente a un ataque relevante, la organización debe notificar al CSIRT Nacional siguiendo una secuencia de plazos exigentes: una alerta temprana dentro de las tres horas desde que toma conocimiento del incidente —el mismo plazo para Operadores de Importancia Vital y para prestadores de servicios esenciales—, seguida de un reporte de actualización cuyo plazo se acorta para los operadores de importancia vital, de veinticuatro horas cuando el incidente afecta el servicio, frente a las setenta y dos horas del caso general, y finalmente un informe final dentro de los quince días. Tres horas para dar la primera voz de alarma es un estándar que obliga a tener procesos, responsables y canales definidos antes de la crisis, no improvisados durante ella.

Todo esto se sostiene sobre un régimen sancionatorio que gradúa las infracciones en leves, graves y gravísimas, con multas que escalan en consecuencia. Para los prestadores de servicios esenciales, una infracción gravísima puede llegar hasta las 20.000 unidades tributarias mensuales; tratándose de un Operador de Importancia Vital, ese tope se duplica y alcanza las 40.000 UTM. Traducidas a pesos, son cifras que ubican el incumplimiento en ciberseguridad en el rango de los grandes riesgos regulatorios de una organización, comparable al de materias como la libre competencia o el medio ambiente. El mensaje del legislador es inequívoco: invertir en seguridad y cumplir los deberes de reporte debe dejar de ser opcional. Si la zanahoria de la prudencia no bastaba, ahora existe el garrote de la multa.

La dimensión económica: cuánto cuesta protegerse y cuánto cuesta no hacerlo

Una ley de ciberseguridad es, vista de cerca, una ley económica. Redistribuye costos, crea mercados, cambia decisiones de inversión y altera la ecuación de riesgo de miles de organizaciones. Ignorar esa dimensión sería leer la norma a medias.

El costo de cumplir es real y conviene nombrarlo sin eufemismos. Adecuarse a la ley implica invertir en tecnología, en procesos y, sobre todo, en personas. Significa contratar o capacitar a un encargado de ciberseguridad, mapear los sistemas críticos, levantar políticas, montar capacidades de detección y respuesta, ensayar planes de continuidad y documentar todo para poder demostrarlo ante la autoridad. Para una gran empresa con áreas de seguridad consolidadas, este esfuerzo es una intensificación de algo que ya hacía. Pero para una compañía mediana que, sin esperarlo, queda calificada como prestador de servicio esencial o como operador relevante, el cumplimiento puede representar un desembolso significativo y la necesidad de competir por un talento escaso. Porque ese es el otro dato económico ineludible: Chile, como casi todo el mundo, enfrenta —según los diagnósticos del sector— una brecha de profesionales de ciberseguridad. La ley aumenta de golpe la demanda por esos perfiles sin que la oferta crezca al mismo ritmo, lo que presiona salarios y puede dejar a las organizaciones más pequeñas en desventaja para atraerlos.

Frente a ese costo hay que poner, en el otro platillo de la balanza, el costo de no protegerse. Y aquí la cuenta suele ser mucho más onerosa. Un incidente grave de ciberseguridad no solo implica el rescate que a veces se exige o la reparación técnica de los sistemas. Implica la interrupción del negocio —cada hora que un banco, una distribuidora eléctrica o un hospital están caídos tiene un valor enorme—, la pérdida de confianza de clientes y usuarios, las eventuales indemnizaciones, la exposición reputacional y, ahora, también la sanción regulatoria si se incumplieron los deberes. La economía del cibercrimen se ha profesionalizado: existen organizaciones que operan el ataque como un negocio, con modelos de extorsión sofisticados. En ese contexto, la inversión en seguridad deja de ser un gasto defensivo difuso y se convierte en una gestión de riesgo cuantificable. La ley, al obligar, en cierto modo está forzando a las organizaciones a hacer una cuenta que muchas postergaban.

Hay además un efecto de mercado que no debe pasarse por alto. Una regulación exigente tiende a desarrollar una industria a su alrededor. Proveedores de servicios de seguridad, auditores, consultoras especializadas, oferta de seguros cibernéticos, programas de formación: todo ese ecosistema recibe un impulso cuando el cumplimiento se vuelve obligatorio. Para algunos, esto es virtuoso, porque profesionaliza un sector estratégico y genera empleo calificado. Para otros, encierra el riesgo de una "industria del cumplimiento" que crezca más por la obligación de marcar casilleros que por una mejora real de la seguridad. Cuál de las dos lógicas predomine dependerá, en buena parte, de cómo la ANCI diseñe sus exigencias: si premia la seguridad efectiva o si, sin querer, recompensa el papeleo. Es una tensión clásica de toda regulación técnica, y conviene tenerla a la vista.

La dimensión social y geopolítica

Más allá de los balances de las empresas, la ciberseguridad es hoy un asunto profundamente social, porque lo que está en juego es la continuidad de los servicios de los que dependen las personas. Cuando se cae el sistema de una isapre o de un banco, quien sufre no es una abstracción corporativa: es el paciente que no puede agendar su atención, el trabajador que no recibe su sueldo a tiempo, el jubilado que no accede a su cuenta. La infraestructura crítica de la información es, en el fondo, la infraestructura de la vida cotidiana. Protegerla es proteger la posibilidad de que la sociedad funcione con normalidad. Por eso una ley de ciberseguridad, aunque suene técnica, toca de manera directa la calidad de vida y la confianza ciudadana.

Esa confianza es, quizá, el activo social más importante en juego. Una economía digital funciona porque las personas creen que pueden transferir dinero, entregar sus datos o realizar un trámite sin que todo se desplome. Cada incidente que se hace público erosiona un poco esa creencia, y la desconfianza tiene costos difusos pero enormes: gente que vuelve al efectivo, que evita la banca en línea, que desconfía del Estado digital. Una institucionalidad que prevenga incidentes y que, cuando ocurran, los gestione con orden y transparencia, ayuda a sostener ese contrato implícito de confianza. En ese sentido, la ley no protege solo servidores y bases de datos: protege la disposición de una sociedad a vivir digitalmente.

Y luego está la dimensión geopolítica, que en materia de ciberseguridad es ineludible. Los ataques a infraestructura crítica ya no son solo obra de delincuentes que buscan dinero; en el escenario internacional, conviven con operaciones patrocinadas o toleradas por Estados, con motivaciones de espionaje, desestabilización o presión política. La ciberseguridad se ha vuelto un componente de la soberanía: un país que no puede proteger su red eléctrica, su sistema financiero o sus comunicaciones es un país vulnerable en un sentido estratégico, no solo comercial. Al dotarse de una agencia nacional y de capacidades de respuesta coordinada, Chile da un paso hacia lo que podríamos llamar soberanía digital, entendida no como aislamiento, sino como la capacidad de defender lo propio y de cooperar internacionalmente desde una posición de mayor fortaleza. La alineación con estándares globales no es, en esta lectura, una concesión a la moda regulatoria, sino una condición para participar con seriedad en un mundo donde los datos y los servicios cruzan fronteras permanentemente.

Hay, por cierto, una contracara que la mirada social honesta debe reconocer. Toda institucionalidad de ciberseguridad maneja información sensible sobre vulnerabilidades, incidentes y sistemas críticos, y concentra capacidades de monitoreo. Una sociedad democrática tiene derecho a preguntarse cómo se controla a quien controla, qué resguardos existen para que esas capacidades no se desvíen hacia la vigilancia indebida, y cómo se equilibran la seguridad y las libertades. La ley chilena inserta a la ANCI dentro del marco institucional del Estado, con sus controles, pero la vigilancia ciudadana sobre el uso proporcionado de estas potestades es parte sana del proceso. Confiar no significa desentenderse.

Las tensiones de la implementación

Una ley marco es, por definición, un esqueleto. Fija principios, crea instituciones y traza las grandes líneas, pero deja a la normativa secundaria —reglamentos, normas técnicas, criterios de la autoridad— la tarea de poner la carne. Por eso, gran parte del juicio que la historia hará sobre la Ley N° 21.663 no depende de su texto, sino de su implementación. Y ahí conviven, legítimamente, dos lecturas que vale la pena exponer con justicia, sin abrazar ninguna como verdad absoluta.

Quienes valoran la ley subrayan que venía a llenar un vacío evidente y que sus exigencias, aunque costosas, son proporcionales a lo que está en juego. Argumentan que un país no puede dejar la protección de su infraestructura crítica librada a la voluntad de cada empresa, que la existencia de una autoridad técnica con poder real es un avance institucional largamente esperado, y que la alineación con estándares internacionales abre puertas en vez de cerrarlas. Para esta mirada, el costo de cumplir es la prima de un seguro que el país necesitaba contratar, y los plazos exigentes de reporte responden a la naturaleza de los incidentes digitales, donde cada hora cuenta.

Quienes la observan con cautela no niegan la necesidad de regular, pero ponen el foco en los riesgos de una mala implementación. Advierten sobre la carga que recae en empresas medianas que, sin la musculatura de las grandes, quedan obligadas; sobre lo demandante de los plazos de reporte en medio de una crisis, cuando la organización está, literalmente, apagando incendios; sobre la incógnita de si una agencia nueva tendrá los recursos, el talento y la independencia técnica para fiscalizar bien y de manera pareja; y sobre el riesgo de solapamientos regulatorios con otras normas, como la legislación de protección de datos o la de delitos informáticos, que podrían generar duplicidades y zonas grises. Su preocupación no es el fin de la ley, sino que su aplicación resulte proporcional, predecible y técnicamente sólida, en lugar de convertirse en una fuente de incertidumbre.

Ambas posiciones, miradas sin prejuicio, comparten más de lo que parece. Las dos quieren un país más seguro digitalmente; difieren en cómo evitar que el remedio genere efectos no deseados. Y las dos coinciden, casi sin saberlo, en un punto decisivo: la calidad de la implementación lo definirá todo. Reglamentos claros, criterios de calificación de operadores que den certeza, una fiscalización que distinga entre el incumplimiento negligente y el error de buena fe, una agencia que acompañe además de sancionar: de esos detalles, aparentemente menores, dependerá que la ley se recuerde como un avance equilibrado o como una carga difícil de administrar. Las leyes marco se juegan su reputación en la letra chica de su aplicación.

Lo que está en juego

A la distancia, la Ley N° 21.663 puede leerse como parte de un fenómeno mayor: la maduración del derecho frente a la transformación digital. Durante años, la tecnología corrió muy por delante de las normas, y el derecho fue, a lo sumo, un espectador que llegaba tarde. Lo que estamos viendo ahora —en ciberseguridad, en protección de datos, en inteligencia artificial— es el derecho intentando alcanzar a la realidad, poner reglas donde antes había vacío y distribuir responsabilidades donde antes reinaba la ambigüedad. Estas leyes no son perfectas, y difícilmente lo serán, porque legislan sobre un terreno que se mueve más rápido que cualquier congreso. Pero representan un esfuerzo legítimo por que la digitalización ocurra dentro de un marco de derechos, deberes y garantías, y no en una tierra de nadie.

Para las organizaciones, el mensaje práctico es independiente de la postura que cada cual tenga sobre la ley. El cumplimiento ya es exigible para los operadores alcanzados, de modo que lo sensato es anticiparse: revisar con seriedad si se está dentro del perímetro, ordenar las medidas de seguridad y los protocolos de reporte, designar responsables y ensayar la respuesta antes de que llegue el incidente. No por miedo a la multa, aunque exista, sino porque la madurez en ciberseguridad se construye en tiempos de calma y se prueba en tiempos de crisis. La empresa que improvisa su primera alerta a las tres de la madrugada, en medio de un ataque, ya perdió las horas que más importaban.

Y para el país, lo que está en juego es algo más grande que el cumplimiento de un puñado de empresas. Es la apuesta de que se puede tener una economía digital, abierta y moderna, sin renunciar a la seguridad ni a la confianza que la hacen posible. La Ley N° 21.663 es un instrumento de esa apuesta. Si funcionará tan bien como promete o si tropezará en su implementación es algo que solo el tiempo dirá. Pero el rumbo —tomarse en serio la protección de lo que sostiene la vida cotidiana— parece, en un mundo cada vez más dependiente de lo digital, sencillamente inevitable. La conversación que viene ya no es si proteger, sino cómo hacerlo bien.

Fuentes y marco legal

• Ley N° 21.663 — Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información: crea la ANCI y el CSIRT Nacional, define operadores de importancia vital y servicios esenciales, deberes, reporte de incidentes y régimen sancionatorio.
• Agencia Nacional de Ciberseguridad (ANCI) — información institucional, normativa técnica y calificación de operadores.
• Ley N° 21.459 — delitos informáticos, que sanciona penalmente el acceso ilícito y el ataque a sistemas, en un plano distinto al regulatorio de la Ley N° 21.663.
• Ley N° 21.719 — protección de datos personales, norma complementaria y distinta, con plena vigencia a partir del 1 de diciembre de 2026.

Toda referencia normativa se verifica contra fuentes oficiales (BCN/leychile.cl) y la información del organismo competente a la fecha de actualización. La calificación de operadores y el contenido de los reglamentos técnicos pueden evolucionar.