Ley marco de ciberseguridad: Por qué tu “Excel compartido” ahora es un riesgo de 40.000 UTM

La Ley 21.663 redefinió completamente la ciberseguridad en Chile: dejó de ser un asunto técnico para transformarse en una responsabilidad legal que recae directamente en Jefes de Servicio, Directivos y Gerencias. Con este nuevo estándar nacional, la pregunta es inevitable: ¿puede tu institución detectar, trazar y reportar un incidente en menos de 3 horas?

Introducción

Durante años, la operación del Estado y de muchos Servicios Esenciales se sostuvo sobre una lógica informal: carpetas compartidas, correos con documentos sensibles y planillas Excel circulando sin control. Si algo se filtraba, se perdía o se borraba, todo se atribuía a un “error administrativo”.

Esa época se acabó.

Con la entrada en vigencia plena de la Ley Marco de Ciberseguridad (Ley N.º 21.663), estas prácticas ya no solo son ineficientes, sino potencialmente sancionables. La gestión documental improvisada es hoy un riesgo regulatorio que puede costar miles de millones de pesos.

1. El nuevo sheriff: La ANCI

La Ley creó la Agencia Nacional de Ciberseguridad (ANCI), un organismo con dientes:

puede dictar normas, auditar, exigir evidencia y aplicar sanciones históricas.

La ANCI clasifica a instituciones públicas y privadas en dos categorías clave:

Servicios Esenciales.
Operadores de Importancia Vital (OIV).

Ambos tienen obligaciones estrictas y verificables. Y aquí surge el primer gran problema: la mayoría de los sistemas legados del Estado no cumplen —ni tienen cómo cumplir— con los estándares exigidos de seguridad, monitoreo y trazabilidad.

2. La regla de las 3 horas: Adiós a la gestión manual

Uno de los cambios más disruptivos es la obligación de reporte de incidentes:

3 horas para enviar una alerta temprana a la ANCI (vía CSIRT Nacional).
72 horas para un informe técnico profundo.

Pregúntate esto con honestidad:

Si mañana alguien borra una base de datos, accede a un expediente reservado o filtra información desde un Juzgado, Fiscalía interna o Municipalidad… ¿tienes trazabilidad suficiente para detectar, aislar y reportar el incidente antes de que pasen 180 minutos?

Si dependes de carpetas compartidas o sistemas desconectados, la respuesta suele ser no.

Y un “no” ahora tiene consecuencias reales.

3. Las multas: Hasta 40.000 UTM por incumplimiento

El legislador quiso dejarlo claro:

el cumplimiento no es opcional.

Las sanciones pueden alcanzar:

5.000 UTM – Infracciones leves.
10.000 UTM – Infracciones graves (como no reportar a tiempo).
20.000 UTM – Infracciones gravísimas.
40.000 UTM – Para OIV reincidentes o afectación severa a la continuidad del país.

Estamos hablando de montos capaces de comprometer presupuestos institucionales completos, afectar municipios y poner en riesgo operaciones críticas.

4. La solución: Seguridad y trazabilidad desde el diseño

La única forma de operar dentro del marco regulatorio es adoptar plataformas que integren Seguridad desde el Diseño, un enfoque que exige:

Trazabilidad completa.
Auditoría inalterable.
Control de accesos granular (RBAC).
Continuidad operativa ante fallas y ataques.
Gobernanza de datos certificable.

Plataformas modernas como Lexsoft no solo reemplazan al papel o al Excel:

permiten demostrar evidencia de cumplimiento, anticiparse a incidentes y asegurar que cada documento, acción y acceso sea 100% trazable.

Así es como se evita que una omisión técnica se convierta en un riesgo regulatorio multimillonario.

La Ley Marco de Ciberseguridad es un antes y un después para el Estado y los servicios críticos del país.

No se trata de tener un buen antivirus, sino de poder demostrar —en auditorías y bajo presión— que tu institución opera con estándares de seguridad consistentes, verificables y continuos.