Chile establece nuevas reglas de ciberseguridad para servicios esenciales y operadores de importancia vital

La Agencia Nacional de Ciberseguridad de Chile (ANCI) publicó tres instrucciones generales (IG Nº 2, 3 y 4) con nuevas obligaciones para servicios esenciales y operadores de importancia vital (OIV), bajo la Ley Nº 21.663. Se enfocan en: inscripción y reporte de incidentes, designación de delegado de ciberseguridad y medidas técnicas mínimas de respuesta ante incidentes.

Marco normativo aplicable

Las instituciones que prestan servicios esenciales están obligadas a reportar al equipo de respuesta ante incidentes de seguridad informática (CSIRT nacional) los ciberataques e incidentes con efectos significativos, conforme al artículo 9 de la Ley Nº 21.663 y al Reglamento de Reporte de Incidentes aprobado por DS Nº 295/2024 del Ministerio del Interior y Seguridad Pública, que dispone el uso de la plataforma de notificación de la ANCI.

La ANCI está facultada para dictar instrucciones generales y particulares de carácter obligatorio para implementar la ley, de acuerdo con el artículo 11, letra b) de la misma.

IG Nº 2: inscripción del encargado de ciberseguridad sin clave única

• Qué habilita: medio de autenticación alternativo para inscribir al encargado/a cuando no se pueda usar clave única.
• Requisito: acreditar fehacientemente el vínculo entre la persona y la institución en la plataforma ANCI.
• Supletoriedad: rige IG Nº 1/2025 en lo no previsto por IG Nº 2.
• Contexto: refuerza el deber de reportar incidentes significativos vía plataforma ANCI.

IG Nº 3: obligación de designar delegado/a de ciberseguridad

• Deber: todos los OIV deben designar un delegado de ciberseguridad que actúe como contraparte de ANCI y reporte a la máxima autoridad o directivos.
• Perfil mínimo: formación/experiencia en ciberseguridad o afines; independencia funcional; reporte directo; habilitación para representar a la institución ante ANCI.
• Independencia de TI: no debe ser la jefatura de TI, salvo que existan salvaguardas que aseguren autonomía y reporte directo.
• Designación y documento: modalidad según tipo de entidad; debe constar en documento formal con datos del titular y subrogante, habilitación y vínculo jurídico.
• Acreditación/actualización: remitir por portal ANCI o medio alternativo; subsanar en 5 días hábiles si falta información; informar reemplazo en 5 días hábiles.
• Relación con IG Nº 1/2025: complementaria; puede coincidir con el encargado de reporte, si cumple requisitos.
• Plazo: 60 días corridos desde la nómina final OIV en el Diario Oficial.

IG Nº 4: medidas obligatorias para contener impactos y propagación de incidentes

• Base legal: art. 8, letra e), Ley Nº 21.663.
• Restricción/aislamiento: limitar accesos, aislar sistemas y, si es necesario, suspender parcial o temporalmente servicios.
• Credenciales privilegiadas: ante impacto en confidencialidad/integridad/uso legítimo (taxonomía Res. Nº 7/2025), cambiar contraseñas de administradores y eliminar cuentas genéricas/inactivas en 3 horas; también de forma preventiva cada 6 meses. Reportar en alerta temprana.
• Accesos remotos expuestos: verificar inexistencia; si existen, bloquear/dar de baja en 3 horas y reportar; exigir VPN o restringir a IP/segmentos; credenciales aleatorias y MFA cuando sea factible; deshabilitar al terminar la gestión.
• Servicios expuestos a Internet: suspender temporalmente con aviso; redirigir/limitar a entornos confiables cuando proceda; asegurar cifrado robusto si se mantienen operativos.
• Herramientas de seguridad: contar con soluciones (comerciales o abiertas) para identificar, aislar y monitorear; ANCI podrá publicar referencias orientadoras.
• Cortafuegos: implementar y operar con bloqueo entrante por defecto (whitelisting); lineamientos y supervisión periódica institucional.
• Segmentación y contención lateral: aislar entornos comprometidos; proteger respaldos; restringir tráfico entre sistemas críticos; suspender credenciales/integraciones compartidas; retiro de medidas de modo gradual y controlado con registro.
• Coordinación y registro: documentar decisiones, resguardar evidencias, mantener comunicación con ANCI e informar a la alta dirección. Plazo: 60 días corridos desde la nómina final OIV.

Sujetos alcanzados y entrada en vigor

• Para servicios esenciales, la IG Nº 2 aplica a la inscripción del encargado/a de ciberseguridad en la plataforma de reporte de la ANCI, habilitando autenticación alternativa sin clave única, conforme a la Ley Nº 21.663 y su Reglamento de Reporte.
• Para OIV, la IG Nº 3 exige la designación del delegado/a de ciberseguridad y la IG Nº 4 impone medidas operativas mínimas obligatorias de respuesta a incidentes, con plazos de 60 días desde la respectiva nómina final en el Diario Oficial.

Recomendaciones prácticas de cumplimiento

• IG Nº 2: preparar acreditación del vínculo e inscribir encargado/a usando el canal alternativo.
• IG Nº 3: emitir el documento formal de designación del delegado/a de ciberseguridad, con criterios de independencia y reporte directo, y cargarlo en el portal de la ANCI.
• IG Nº 4: ejecutar plan de adecuación técnica, priorizando contraseñas privilegiadas, revisión y bloqueo de accesos remotos expuestos, endurecimiento de VPN y MFA, segmentación de redes, protección de respaldos y establecimiento de un registro detallado de medidas y evidencias.

En síntesis: obligaciones diferenciadas para servicios esenciales y OIV

Las nuevas instrucciones de la ANCI consolidan obligaciones diferenciadas para servicios esenciales y OIV, combinando medidas de gobernanza (designación de roles y acreditaciones) y de respuesta técnica mínima frente a incidentes, bajo el paraguas de la Ley Nº 21.663, su Reglamento de Reporte (DS Nº 295/2024) y las facultades regulatorias de la ANCI. Cumplir en tiempo y forma es clave para mitigar riesgos operacionales y regulatorios.