Durante 2025, la ciberseguridad se consolidó como un área de avance regulatorio significativo en Chile. Este desarrollo comenzó con la aprobación en 2024 de la Ley N° 21.663, Marco de Ciberseguridad, una regulación pionera en América Latina que entró en vigor el 1 de enero de 2025. Posteriormente, el 1 de marzo de 2025, entraron en vigencia las obligaciones para proveedores de servicios esenciales y operadores de infraestructura vital, incluyendo la obligación de reportar incidentes de impacto significativo y el marco de infracciones (DFL N° 1, 2024). Estos desarrollos han posicionado a Chile como referente regional en cuanto a los desafíos de implementación de esta estructura normativa, que incorpora varios elementos de enfoques regulatorios europeos.
Implementación institucional y directrices iniciales
Con el inicio de operaciones de la Agencia Nacional de Ciberseguridad, varias de sus competencias comenzaron a materializarse, particularmente en el establecimiento de directrices de ciberseguridad para proveedores de servicios esenciales. Entre las acciones destacadas, se emitió la Instrucción General N° 1, que ordena a los proveedores de servicios esenciales designar un responsable de ciberseguridad encargado del reporte de incidentes, incluyendo aquellos de impacto significativo.
Clasificación de operadores de infraestructura vital
Respecto al proceso de calificación de operadores de infraestructura vital (OIV)—entidades sujetas a obligaciones específicas conforme al artículo 8 de la Ley—el 16 de septiembre de 2025, la Agencia Nacional de Ciberseguridad publicó la Resolución Exenta N° 50, aprobando un listado de aproximadamente 1.400 instituciones potencialmente calificables como OIV e iniciando consulta pública. Los sectores incluidos comprendieron órganos de la administración del Estado, empresas públicas e instituciones del sector público, junto con entidades del sector eléctrico, telecomunicaciones, infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros, banca, servicios financieros y sistemas de pagos, prestación institucional de salud, y otros. Sectores adicionales quedaron pendientes de inclusión en fases posteriores, incluyendo administradoras de prestaciones de seguridad social, servicios postales y de mensajería, y producción e investigación de productos farmacéuticos.
Resultados de la consulta pública y designación oficial
Tras la conclusión del período de observaciones de las instituciones OIV preliminarmente clasificadas, la Agencia Nacional de Ciberseguridad publicó los resultados de la consulta pública a mediados de noviembre. El 17 de diciembre de 2025, publicó la Resolución Exenta N° 87, aprobando el primer listado oficial de OIV. El proceso de determinación incluyó dos fases analíticas. La fase inicial estableció que «la prestación del servicio depende de redes y sistemas informáticos, y que afectar, interceptar, interrumpir o destruir estos sistemas genera impacto significativo en la seguridad, orden público, provisión continua y regular de servicios esenciales, desempeño efectivo de funciones del Estado, o en general en servicios prestados o garantizados por el Estado.»
La segunda fase analítica evaluó el impacto utilizando criterios especificados en el artículo 4 del Reglamento (Decreto N° 285, 2024): (a) cantidad de potencialmente afectados; (b) redundancia del servicio enfatizando atributos de disponibilidad y resiliencia; (c) existencia de escenarios de proveedor único; (d) necesidad de ciertos servicios esenciales para que otros servicios esenciales funcionen adecuadamente; y (e) rol institucional dentro de su sector e importancia estratégica para el funcionamiento económico y operación de la sociedad, junto con comprensión sistémica incorporando perspectivas orientadas al riesgo. Esta resolución se mantiene sujeta a recursos administrativos incluyendo procedimientos de reconsideración y reclamación.
Instrucciones generales complementarias
A lo largo de 2025, se emitieron varias instrucciones generales:
La Instrucción General N° 2 estableció directrices complementarias para el registro en la plataforma de reporte de incidentes, permitiendo excepcionalmente que los responsables de ciberseguridad accedan a través de métodos de autenticación alternativos.
La Instrucción General N° 3 proporcionó directrices sobre la designación de delegados de ciberseguridad dentro de las obligaciones de OIV, estableciendo esta como un rol organizacional estratégico que requiere reporte directo a la alta dirección y que sirve como contraparte de la Agencia. Más allá de requisitos de experiencia, los delegados deben mantener independencia funcional de otras áreas como tecnología de la información, reforzando su función de segunda línea de defensa y complementando el rol del responsable de reporte de incidentes.
La Instrucción General N° 4 emitió instrucciones sobre medidas necesarias para reducir el impacto y propagación de incidentes entre las obligaciones de OIV, estableciendo medidas técnicas y operacionales inmediatas y obligatorias para contener, aislar y mitigar incidentes mediante acciones que incluyen respuesta inmediata obligatoria, aislamiento de sistemas, gestión de credenciales, gestión de acceso remoto, suspensión de servicios expuestos, utilización de herramientas digitales, implementación de cortafuegos, y coordinación activa y documentación con la Agencia.
Reconocimiento regional y desafíos futuros
Estos esfuerzos permitieron que Chile fuera reconocido en el Reporte Anual de Ciberseguridad del Banco Interamericano de Desarrollo y Organización de Estados Americanos, destacando el liderazgo chileno en capacidad de ciberseguridad regional. Los desafíos para 2026 incluyen la ejecución de la implementación normativa, la entrada inminente de la Ley de Protección de Datos Personales (modificada por la Ley N° 21.719), fortalecimiento de relaciones público-privadas, elevación de la ciberseguridad a niveles de liderazgo ejecutivo, y énfasis en la cultura de ciberseguridad, no solo desde perspectivas técnicas sino en todos los participantes activos del ciberespacio.
Chile lidera ciberseguridad en América Latina tras el primer año de su marco regulatorio
SANTIAGO—Chile cerró 2025 clasificado como la nación más segura en ciberseguridad de América Latina y el Caribe, según una evaluación del 24 de diciembre del Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA) publicada por la Agencia Nacional de Ciberseguridad. El reconocimiento culminó un período de transformación de 12 meses en el que la recientemente creada Agencia Nacional de Ciberseguridad (ANCI) completó su fase de inicio, implementó el primer Marco de Ciberseguridad de la región y designó formalmente más de mil operadores de infraestructura vital.
El rápido ascenso no ocurrió en el vacío. Chile dedicó el año a poner en práctica la Ley 21.663, una norma aprobada en 2024 y en vigor desde el 1 de enero de 2025, mientras ANCI emitía una serie de instrucciones y resoluciones que convertían el texto en obligaciones cotidianas para los proveedores de servicios esenciales. Juntas, esas medidas produjeron una arquitectura nacional que los organismos regionales ahora citan como referente de madurez y fortaleza institucional.
Fundada en diciembre de 2024, ANCI se operacionalizó completamente en 2025. Hacia fin de año presentó su primer balance anual, confirmando que su fase de instalación había concluido exactamente un año después de su creación, según reportó DPL News. Ese hito, junto con la evaluación del BID-OEA, sugiere que el experimento del país en combinar conceptos regulatorios europeos con realidades locales está comenzando a rendir frutos.
Despliegue regulatorio de enero a marzo
El nuevo marco entró en vigencia el 1 de enero con la entrada en vigor de la Ley 21.663. Dos meses después, el 1 de marzo, entraron en vigencia las obligaciones para proveedores de servicios esenciales y operadores de infraestructura vital (OIV). A partir de esa fecha, las empresas en sectores como energía, telecomunicaciones, finanzas y salud debieron reportar cualquier incidente cibernético con «impacto significativo» a ANCI y enfrentaron una escala codificada de infracciones conforme al Decreto Ley 1 de 2024.
Para guiar el cumplimiento, ANCI emitió la Instrucción General N° 1, requiriendo que cada proveedor de servicios esenciales designara un responsable de ciberseguridad responsable del reporte de incidentes. La medida creó un único punto de contacto para la agencia y estableció líneas tempranas de responsabilidad dentro de las organizaciones críticas.
Mapeo de la infraestructura vital de Chile
Un desafío central de 2025 fue determinar qué entidades calificaban como OIV, aquellas cuya interrupción podría poner en riesgo la seguridad pública o los servicios esenciales. El 16 de septiembre, la agencia publicó la Resolución Exenta N° 50, un listado inicial de aproximadamente 1.400 candidatos que abarcaba agencias gubernamentales, empresas estatales, redes eléctricas, redes de telecomunicaciones, plataformas digitales, sistemas bancarios y de salud. El listado abrió un período de consulta pública, dando a las entidades listadas la oportunidad de cuestionar o aclarar su estatus.
ANCI publicó los resultados de la consulta a mediados de noviembre y, el 17 de diciembre, formalizó el primer listado oficial de OIV a través de la Resolución Exenta N° 87. La evaluación en dos fases examinó si un servicio dependía de sistemas en red y, si se viera comprometido, podría afectar significativamente la seguridad nacional, el orden público o la prestación continua de servicios esenciales. Criterios adicionales, extraídos del Decreto 285 de 2024, consideraron la cantidad de usuarios potencialmente impactados, niveles de redundancia, escenarios de proveedor único y el rol sistémico que juega una organización dentro de su sector. Las entidades aún pueden solicitar reconsideración, pero la decisión fija efectivamente la línea base del mapa de infraestructura crítica de Chile.
Instrucciones complementarias que cierren los vacíos
A lo largo del año, ANCI complementó la ley con cuatro Instrucciones Generales:
• La Instrucción N° 2 detalló cómo los responsables de ciberseguridad deben registrarse en la plataforma de reporte de incidentes de la agencia, permitiendo temporalmente métodos de autenticación alternativos mientras el sistema se escala.
• La Instrucción N° 3 estableció la figura del «delegado de ciberseguridad» dentro de los OIV, un rol de segunda línea independiente de los departamentos de tecnología de la información, reportando directamente a la alta dirección y actuando como contraparte estratégica de la agencia.
• La Instrucción N° 4 mandató pasos técnicos y operacionales inmediatos—aislamiento de sistemas, reinicio de credenciales, activación de cortafuegos, controles de acceso remoto—para contener y mitigar incidentes, y requirió documentación meticulosa de todas las acciones realizadas.
Estas reglas granulares convirtieron intenciones legislativas en rutinas prescriptivas que las organizaciones ahora deben incorporar en sus libros de juego de gestión de riesgos y operacionales.
Aplausos regionales
Los elogios fueron inmediatos. El reporte del BID-OEA publicado el 24 de diciembre destacó a Chile como el «número uno» regional en madurez de ciberseguridad, un logro subrayado por el entorno político estructurado del país, roles institucionales claros e la profundidad de sus instrumentos regulatorios, según se señaló en el sitio de ANCI. Una revisión de la industria por separado resonó con el hallazgo, diciendo que Chile muestra «la mayor madurez en ciberseguridad» de América Latina de acuerdo con DF Lab del Diario Financiero.
Para ANCI, el reconocimiento llegó junto con su primer aniversario. El balance inaugural de la agencia, presentado a finales de diciembre, confirmó que su fase de instalación—contratación de personal, asignación de presupuesto, definición de procesos y coordinación de partes interesadas—había concluido oficialmente, permitiéndole transitar hacia la ejecución regulatoria completa en 2026, reportó DPL News.
Impacto temprano en terreno
Dentro de meses del debut de la ley, varios sectores reportaron mejoras en los tiempos de respuesta a incidentes y coordinación interagencial. Las empresas de energía señalaron que el reporte obligatorio aceleró el análisis forense, mientras que los proveedores de telecomunicaciones dijeron que la cadena de mando clara redujo la ambigüedad durante incidentes intersectoriales. Las instituciones financieras, ya sujetas a reglas estrictas del banco central, acogieron favorablemente el canal único de reporte, que ayudó a alinear requisitos superpuestos.
Los profesionales del derecho citan otro beneficio: al codificar obligaciones, el marco da a los tribunales y reguladores un lenguaje común para evaluar la diligencia, reduciendo así las brechas interpretativas que previamente complicaban la ejecución o las demandas de responsabilidad.
Mirando hacia 2026
A pesar del fuerte comienzo, las autoridades reconocen que 2026 pondrá a prueba la resiliencia del sistema. Las tareas clave incluyen:
• Completar la inclusión de sectores aún por etiquetar, como administradoras de seguridad social, servicios postales y producción farmacéutica.
• Lanzar la Ley de Protección de Datos Personales (modificada por la Ley 21.719), que añadirá gobernanza de privacidad a la agenda de ciberseguridad.
• Profundizar la cooperación público-privada para que los datos de incidentes fluyan en ambas direcciones, enriqueciendo la inteligencia de amenazas.
• Elevar la ciberseguridad a discusiones a nivel de junta directiva dentro de los OIV, transformándola de un gasto técnico en una inversión estratégica.
• Expandir campañas de
Fuentes
- https://anci.gob.cl/noticias/
- https://dplnews.com/chile-anci-presenta-su-primer-balance-anual/
- https://www.df.cl/df-lab/tech-negocios/reporte-destaca-a-chile-como-el-pais-con-mayor-madurez-en-ciberseguridad-de
