Preguntas frecuentes

La ley tiene dos niveles: obligaciones generales para todas las organizaciones que operen sistemas digitales en Chile, y obligaciones especiales para los Operadores de Importancia Vital (OIV) que la ANCI designe formalmente. Las PYMEs típicas no serán OIV, pero sí tienen la obligación de reportar incidentes significativos a la ANCI en un plazo de 24 horas y de cooperar con las autoridades. La ley también faculta a la ANCI para dictar reglamentos con estándares mínimos de seguridad que aplicarán a todas las organizaciones.

La modificación a la Ley 19.628 se encuentra en tramitación en el Congreso de Chile. El proyecto ha avanzado significativamente pero aún debe completar su proceso legislativo antes de ser promulgado. Recomendamos consultar el estado actualizado en www.senado.cl. Lo que sí está vigente desde el año 1999 es la Ley 19.628 original, que ya establece obligaciones de protección de datos personales para todas las empresas.

Son dos leyes distintas con enfoques complementarios: La Ley 21.663 (Ley Marco de Ciberseguridad) regula la seguridad de los sistemas informáticos y la respuesta a incidentes cibernéticos. Se enfoca en proteger la infraestructura digital. La modificación a la Ley 19.628 regula la privacidad y el tratamiento de datos personales de las personas. Se enfoca en los derechos de los ciudadanos sobre su información. Una empresa puede estar sujeta a ambas: la 21.663 por cómo asegura sus sistemas, y la 19.628 por cómo maneja los datos de sus clientes.

La ANCI (Agencia Nacional de Ciberseguridad e Infraestructura) es el organismo público creado por la Ley 21.663 que regula, supervisa y coordina la ciberseguridad en Chile. Tiene la facultad de dictar instrucciones y estándares mínimos que deben cumplir todas las organizaciones que operen sistemas informáticos en el país, no solo las grandes empresas. Para las PYMEs, la ANCI puede emitir reglamentos técnicos obligatorios, recibir reportes de incidentes significativos y aplicar sanciones ante incumplimientos. Incluso si tu empresa es pequeña, debes estar atenta a los reglamentos que la ANCI publique en el Diario Oficial, ya que algunos aplicarán con independencia del tamaño de la organización.

La Ley 21.663 fue publicada en el Diario Oficial en marzo de 2024 y contempla un plazo de hasta 18 meses para que la ANCI dicte los reglamentos técnicos y estándares obligatorios, lo que sitúa el plazo aproximado a finales de 2025. Sin embargo, los reglamentos pueden emitirse de forma gradual, por sectores o temáticas. Mientras tanto, las organizaciones no están exentas de responsabilidad: la ley ya obliga a reportar incidentes significativos en 24 horas y a cooperar con la ANCI. Lo recomendable es comenzar ya a implementar buenas prácticas de seguridad basadas en marcos internacionales como NIST CSF o ISO 27001, de modo que la adopción de los reglamentos futuros sea un ajuste menor y no un cambio radical.

Bajo la Ley 19.628 actualmente vigente, la obligación de notificar a los titulares afectados no está expresamente regulada con plazos y procedimientos detallados, pero la responsabilidad civil por el daño causado sí existe, y los tribunales han interpretado que informar oportunamente forma parte de la diligencia debida. La Ley 21.663 de Ciberseguridad ya obliga a reportar incidentes significativos a la ANCI en un plazo de 24 horas desde que se toma conocimiento, independientemente del tamaño de la empresa. El proyecto de nueva Ley de Protección de Datos Personales, cuando entre en vigencia, establecerá plazos y formatos obligatorios para notificar tanto a la autoridad de control como a los propios titulares. Mientras tanto, la buena práctica —y la que reduce tu exposición legal— es comunicar el incidente a los afectados con claridad: qué datos se vieron comprometidos, qué medidas tomaste y qué pueden hacer ellos para protegerse.

Debes reportar a la Agencia Nacional de Ciberseguridad (ANCI) a través del CSIRT Nacional. El canal oficial es csirt@anci.gob.cl y el sitio www.csirt.gob.cl. El plazo es de 24 horas desde que tomas conocimiento del incidente (3 horas si eres Operador de Importancia Vital). El reporte debe incluir: descripción del incidente, sistemas afectados, impacto preliminar y medidas adoptadas. No esperes tener toda la información para reportar: un reporte inicial rápido es mejor que uno completo tarde.

Sí, si tu sitio web recopila cualquier dato personal de usuarios chilenos (incluso solo un correo en un formulario de contacto), debes informar cómo usas esos datos. La Ley 19.628 vigente exige que el tratamiento de datos tenga una finalidad determinada e informada al titular. Una política de privacidad accesible desde tu sitio es la forma estándar de cumplir con esto. Con la nueva ley en tramitación, este requisito se vuelve más estricto: la política debe ser clara, específica y el consentimiento debe ser explícito.

Estudios globales consistentemente muestran que entre el 80% y 90% de los incidentes de ciberseguridad involucran error humano o ingeniería social. Un correo de phishing bien diseñado puede engañar a cualquier persona si no sabe qué buscar. La capacitación no necesita ser costosa: existen recursos gratuitos del CSIRT de Gobierno, cursos online básicos, y simulaciones de phishing (algunas gratuitas como GoPhish). Lo mínimo recomendado para una PYME: una sesión anual de concienciación sobre phishing, una política clara de qué hacer al recibir un correo sospechoso, y recordatorios periódicos sobre contraseñas y reportar incidentes.

Sí. Los proveedores de nube como AWS, Microsoft Azure o Google Cloud operan bajo un modelo de responsabilidad compartida: el proveedor protege la infraestructura física, la red y el hipervisor, pero tú eres responsable de todo lo que está encima de eso: configuraciones, accesos, datos, aplicaciones y copias de seguridad. Un ejemplo común de error es dejar un bucket de almacenamiento (S3, Azure Blob) público sin querer, lo que expone datos de clientes. Bajo la legislación chilena, esa fuga de datos es responsabilidad de tu empresa y no del proveedor de nube. Por eso, es esencial revisar las configuraciones de seguridad de cada servicio que uses, aplicar el principio de mínimo privilegio en los accesos y habilitar la autenticación multifactor en las cuentas de administración de la nube.

Actúa con rapidez: en los primeros minutos, desconecta el equipo afectado de la red (WiFi y cable) para evitar que un posible malware se propague a otros sistemas. Acto seguido, cambia de inmediato las contraseñas de todas las cuentas a las que el empleado accedió desde ese dispositivo, especialmente correo electrónico, plataformas bancarias y sistemas internos, haciéndolo desde otro equipo limpio. Revisa los registros de actividad (logs) de esas cuentas para detectar accesos no autorizados, correos enviados sin consentimiento o transferencias de archivos sospechosas. Notifica a tu área de TI o proveedor tecnológico, y si detectas que datos de clientes fueron comprometidos, evalúa la obligación de reportar el incidente a la ANCI y a los propios afectados. Finalmente, usa el evento como oportunidad para reforzar la capacitación de todo el equipo en identificación de correos fraudulentos.

Puedes recopilar y conservar los datos estrictamente necesarios para la ejecución del contrato de trabajo y el cumplimiento de obligaciones legales: RUT, nombre, domicilio, datos bancarios para el pago de remuneraciones, información previsional y de salud, registro de asistencia y liquidaciones de sueldo. No puedes solicitar ni almacenar datos sensibles sin justificación proporcionada y consentimiento explícito, como religión, filiación política, historial médico no vinculado a licencias o información sindical usada de forma discriminatoria. El Código del Trabajo prohíbe expresamente al empleador exigir información que no tenga relación directa con las competencias requeridas para el cargo. La Ley 19.628 sobre protección de la vida privada añade que los datos deben ser exactos, actualizados y eliminados cuando dejen de ser necesarios. Con la nueva Ley de Protección de Datos Personales (aún en tramitación al cierre de esta guía), estas obligaciones se reforzarán con sanciones económicas significativas.

La regla 3-2-1 es el estándar de oro para backups: mantén 3 copias de tus datos importantes, en 2 tipos de medios distintos (por ejemplo, disco externo y nube), con 1 copia offline (desconectada de internet). Esta última copia es crucial contra el ransomware, que puede cifrar también los backups conectados a tu red. Para una PYME, esto podría ser: datos en el servidor principal + copia en disco externo en la oficina + copia en servicio de nube. Automatizar el backup y verificar periódicamente que funciona es tan importante como tenerlo.

La autenticación multifactor (MFA) agrega una segunda verificación al iniciar sesión: además de la contraseña, se pide un código temporal enviado a tu teléfono o generado por una app. Esto bloquea el 99% de los ataques basados en contraseñas robadas. Para activarlo en tu empresa: en Microsoft 365 ve a admin.microsoft.com > Usuarios > Directivas > Autenticación multifactor. En Google Workspace ve a admin.google.com > Seguridad > Autenticación. Para otros servicios busca '2FA' o 'MFA' en sus opciones de seguridad. Las apps recomendadas son Microsoft Authenticator o Google Authenticator.

Una política de contraseñas moderna (basada en NIST 2024) recomienda: mínimo 12-15 caracteres en lugar de reglas complejas de símbolos, usar frases de contraseña (ej. 'TresGatosComenPan2024!'), no forzar cambio periódico salvo si hay brecha, revisar contraseñas contra listados de contraseñas comprometidas, y usar un gestor de contraseñas corporativo (como Bitwarden, 1Password o LastPass for Business) para que cada cuenta tenga una contraseña única. Lo más importante: combinar una buena contraseña con MFA es mucho más seguro que una contraseña muy compleja sin segundo factor.

Los parches de seguridad críticos deben aplicarse lo antes posible, idealmente dentro de las 72 horas de su lanzamiento. Para actualizaciones generales, un ciclo mensual es razonable para la mayoría de las empresas. Los sistemas operativos (Windows, macOS), navegadores web, el software de correo y las aplicaciones con acceso a internet son prioridad. Una vulnerabilidad sin parchear es la puerta de entrada más común en los ciberataques. Si tienes Windows, activa las actualizaciones automáticas. Para servidores y aplicaciones críticas, prueba los parches en un entorno de test antes de aplicarlos en producción.

Todo sitio web de negocio debe tener como mínimo: HTTPS activo con un certificado TLS válido (hoy gratuito a través de Let's Encrypt), lo que protege los datos en tránsito y es requerido por los navegadores modernos. Además, debes configurar cabeceras de seguridad HTTP como Content-Security-Policy, X-Frame-Options y Strict-Transport-Security para reducir ataques de inyección y secuestro de sesión. Si usas un CMS como WordPress, mantén el núcleo, los temas y los plugins siempre actualizados, ya que la mayoría de los ataques explotan vulnerabilidades conocidas con parches disponibles. Los formularios de contacto o pago deben protegerse con CAPTCHA y validación de entradas para evitar spam y ataques de inyección SQL. Por último, configura backups automáticos diarios almacenados en un lugar distinto al servidor principal, de modo que puedas restaurar el sitio rápidamente ante cualquier incidente.

El primer paso es separar las redes: crea una red Wi-Fi exclusiva para el personal y otra para invitados o dispositivos IoT, de modo que si un visitante conecta un equipo infectado no pueda alcanzar los servidores o computadores internos. Usa el protocolo WPA3 si tu router lo soporta, o WPA2-AES como mínimo; evita WEP y WPA, que son obsoletos y fácilmente vulnerables. Cambia siempre las credenciales por defecto del router (usuario admin / contraseña admin) por una contraseña robusta y única, ya que los atacantes conocen de memoria las credenciales de fábrica de cada modelo. Actualiza el firmware del router periódicamente, pues los fabricantes publican parches de seguridad importantes. Deshabilita el acceso remoto al panel de administración del router si no lo usas, y revisa regularmente qué dispositivos están conectados a tu red para detectar cualquier equipo desconocido.