El riesgo ya no es solo digital, también es económico y legal. Con la reciente entrada en vigor de la Ley Marco de Ciberseguridad (Ley 21.663) en Chile, las empresas grandes, medianas y pequeñas, deben adaptarse a un nuevo estándar regulatorio, técnico y organizacional para proteger su información y la de sus clientes.
Pero según el último informe de ManpowerGroup -empresa de atracción y gestión del talento tecnológico-, el 55% de los directores aún no está al tanto de las exigencias legales en esta materia, y solo el 50% destina un presupuesto mínimo a fortalecer esta área. Una brecha que alerta, considerando que las multas por infracción pueden alcanzar las 40 mil Unidades Tributarias Mensuales, es decir, más de $2.600 millones de pesos, según indican desde Ionix -desarrolladores de soluciones tecnológicas financieras-.
“La ciberseguridad ya no es solo un asunto técnico, es un riesgo transversal que afecta la gobernanza, la reputación y hasta la viabilidad financiera de las organizaciones”, advierte Vicente Cruz, presidente del Comité de Fraude y Ciberseguridad de Fintech Chile.
La ley obliga a notificar incidentes en plazos que van desde tres a 72 horas, exige protocolos de seguridad y continuidad operativa, y crea la Agencia Nacional de Ciberseguridad (ANCI), un organismo con potestades normativas, fiscalizadoras y sancionatorias que no existían antes.
“El aumento de la actividad digital, cuyo impacto sea directo en el negocio, convierte a las plataformas de las empresas en blancos atractivos para ataques cibernéticos. Al mismo tiempo, los usuarios son cada vez más exigentes. Esperan rapidez, seguridad y una experiencia sin fricciones. Esta dualidad exige que las empresas cuenten con equipos TI sólidos, versátiles y bien preparados ante posibles ataques y/o vulneraciones”.
Gastón Daurat, Managing Director de Experis Chile, marca de ManpowerGroup
Empresas más expuestas y sanciones en detalle
Según los expertos, las empresas más expuestas a las sanciones son aquellas consideradas como Prestadoras de Servicios Esenciales u Operadores de Importancia Vital (OIV). Es decir, aquellas cuya interrupción impactaría directamente en la seguridad pública o en la continuidad de servicios críticos como salud, telecomunicaciones, transporte, energía, educación y banca.
Estas entidades estarán bajo supervisión directa de la ANCI y deberán cumplir con exigencias técnicas estrictas.
“Estas organizaciones deberán reportar incidentes graves dentro de 72 horas (o incluso tres horas en casos críticos), y estarán sujetas a multas que pueden llegar a las 20.000 UTM. El nivel de exposición es alto si no cuentan con una estrategia de cumplimiento bien estructurada”.
Paulina Ravilet, gerente legal y de cumplimiento de Ionix
Pero la amenaza no se limita a los gigantes del mercado. Las pequeñas y medianas empresas (pymes) también están en la mira. Katerin López, abogada UC y compliance officer de la Universidad SEK, señala que muchas pymes “no cuentan con departamentos legales, por lo que va a ser importante que no solo exista responsabilidad empresarial, sino también una fuerte capacitación estatal”.
Añade que el enfoque de la ley es preventivo, pero con un componente sancionatorio que busca garantizar su cumplimiento. Comenta que la norma establece protocolos obligatorios, notificación en plazos acotados y estándares técnicos alineados con modelos internacionales.
Recomendaciones clave para cumplir con la nueva normativa
La falta de preparación no solo expone a las empresas a sanciones económicas, sino también a pérdidas reputacionales y legales. Vicente Cruz advierte que el desconocimiento de los directorios es especialmente grave, “si un incidente deriva en un fraude, la Ley de Delitos Económicos podría activar responsabilidades penales para los directivos”.
Para evitar ese escenario, Cruz recomienda “primero determinar si la empresa califica como Servicio Esencial u OIV. Luego, establecer una gobernanza sólida, comités de ciberseguridad, políticas claras y presupuesto adecuado. Deben proteger datos sensibles con encriptación, implementar autenticación multifactor y capacitar a sus equipos sobre phishing”.
Paulina Ravilet coincide en que la preparación debe ser inmediata. Aunque la ANCI tiene un plazo de 18 meses para dictar reglamentos y definir a los OIV, “las organizaciones no pueden esperar a que todo esté definido. Deben levantar un diagnóstico interno de ciberseguridad, identificar brechas y capacitar a la alta dirección”.
Katerin López también llama a la acción inmediata, ya que “la ley ya está vigente, por lo tanto, las empresas deberían estar enfocando sus procesos en actualizar sus estándares de seguridad”. Entre sus recomendaciones destaca ordenar los procesos internos, definir responsables y buscar capacitaciones específicas sobre la nueva legislación.
Finalmente, el informe de ManpowerGroup propone la implementación de un Centro de Operaciones de Red (NOC) como una solución estructural para garantizar monitoreo constante de redes y prevenir incidentes.
