Santiago, 31 de marzo de 2025 — Con una nutrida asistencia de representantes del sector público y privado, se llevó a cabo la presentación «El Rol de la Agencia Nacional de Ciberseguridad (ANCI) en un mundo digital», liderada por Daniel Álvarez Valenzuela, primer director de la recién creada Agencia Nacional de Ciberseguridad. El evento fue realizado en las oficinas de la Cámara Chileno Británica de Comercio (BritCham), en Av. El Bosque Norte 0125, Las Condes, y fue moderado por Joanna Pérez, presidenta del Comité de Tecnología, Innovación y Ciencias de la Cámara.

Daniel Álvarez, abogado y doctor en Derecho por la Universidad de Chile, con una destacada trayectoria en políticas públicas de ciberseguridad, presentó en detalle las atribuciones, desafíos y prioridades de la ANCI, institución que inició sus funciones formales tras la entrada en vigencia de la Ley Marco de Ciberseguridad.

“Somos un órgano con facultades preventivas, de gestión, fiscalización y sanción. Técnicamente, somos una superintendencia con un nombre bonito”, comentó Álvarez, aludiendo a la profundidad regulatoria que la agencia está asumiendo.

Nueva institucionalidad: un modelo de gobernanza robusto

La presentación subrayó la arquitectura institucional de la ciberseguridad en Chile, que gira en torno a un modelo de gobernanza donde la ANCI es la autoridad nacional, en coordinación con:

• El Consejo Multisectorial sobre Ciberseguridad
• El CSIRT Nacional
• El Comité Interministerial de Ciberseguridad
• El CSIRT Nacional de Defensa

Principales Ejes de Actuación

Durante la exposición, Álvarez explicó que la ANCI cuenta con un marco de acción que combina:

– Facultades normativas
– Gestión de incidentes
– Fiscalización y sanción
– Educación y concientización
– Coordinación de capacidades

• Gestión de incidentes: En menos de un mes desde su entrada en vigencia, la agencia ya ha debido intervenir en incidentes reportados por el sector privado, incluso desplazando equipos técnicos para mitigar amenazas como ransomware.
• Fiscalización y sanciones: Las multas pueden llegar hasta USD 2,5 millones, y en casos agravados superar los USD 4 millones.
• Educación y concientización: Se ha iniciado un ciclo de capacitaciones abiertas al público, desde niveles básicos hasta técnicos avanzados, disponibles en su canal de YouTube.
• Coordinación interinstitucional: Enfatizó la cooperación público-privada y la gestión conjunta con organismos como el Registro Civil, Gobierno Digital y reguladores sectoriales.

Cuatro Prioridades 2025

1. Instalación institucional: Infraestructura administrativa y digital de la nueva agencia.2.

2. Régimen de notificación de incidentes: Obligatorio para entidades catalogadas como servicios esenciales y operadores de importancia vital (OIV). Ya operativo a través de una plataforma digital.

Como establece la Ley 21.663, todas las entidades públicas y privadas que proveen servicios esenciales deben reportar incidentes con efectos significativos, tales como:

• Interrupción del servicio
• Daño a la salud o integridad física de las personas
• Pérdida de confidencialidad, integridad o disponibilidad de información o sistemas
• Acceso no autorizado a redes o bases de datos

Plazos para reportar:

• 3 horas para el aviso inicial desde la detección del incidente
• 72 horas para entregar una evaluación inicial del incidente
• 15 días corridos para un informe detallado
• Informes adicionales si el incidente sigue activo tras el primer informe final

¿Quiénes están obligados a reportar?

La obligación recae en una amplia gama de sectores (35 hasta el momento), entre ellos:

• Energía (generación, transmisión y distribución)
• Combustibles
• Agua potable y saneamiento
• Telecomunicaciones
• Infraestructura digital y servicios TI gestionados por terceros
• Transporte en todas sus formas
• Salud (hospitales, clínicas)
• Finanzas, servicios postales, seguridad social
• Farmacéuticas, entre otros

La ANCI podrá ampliar esta lista mediante procesos participativos y consulta pública.

3. Protocolos y estándares técnicos: Para homologar prácticas mínimas de ciberseguridad, como el uso obligatorio de HTTPS o medidas de protección contra ataques DDoS.

4. Proceso de calificación de Operadores de Importancia Vital (OIV): Conjuntamente con los reguladores sectoriales y mediante consulta pública, se determinarán las entidades con obligaciones más estrictas por su impacto en la continuidad operacional del país.

El proceso para definir los OIV comenzará el 30 de mayo y seguirá este cronograma:

1. Informe técnico de reguladores sectoriales
2. Publicación de nómina preliminar
3. Consulta pública
4. Resumen ejecutivo
5. Publicación de nómina final

Las empresas calificadas como OIV deberán cumplir con estándares más exigentes de ciberseguridad, contar con sistemas de gestión de seguridad de la información y planes de continuidad operativa auditables.

Plataforma tecnológica e interoperabilidad

La plataforma web de la ANCI permite la notificación ágil e intuitiva de incidentes. Además, se está trabajando en integraciones API para conectarla a sistemas internos de seguridad. Esta interoperabilidad es clave para evitar duplicidad en la notificación a múltiples reguladores, especialmente en sectores como banca o energía.

Desafíos Identificados

• Capacidad de respuesta en terreno: Se está diseñando una estrategia para mejorar la capacidad operativa frente a incidentes en regiones o áreas con infraestructura crítica.
• Adaptación de las PYMEs: Se reconoció que muchas pequeñas empresas deben integrarse gradualmente a este nuevo marco. La agencia está evaluando la creación de kits de ciberseguridad (hardware, software y capacitación) con apoyo de instituciones como SERCOTEC.
• Interoperabilidad con otros reguladores: Se están estableciendo protocolos conjuntos, especialmente con la CMF y el Banco Central, para evitar duplicidad en la notificación de incidentes.

Enfoque Proactivo y Cultural

Álvarez insistió en que la cultura organizacional es clave para una ciberdefensa eficaz. “¿Todos saben a quién llamar ante un incidente cibernético? ¿Quién lidera el comité de crisis si ocurre un viernes a las 18:00? Estas preguntas deben tener respuestas claras”, sentenció.

La exposición concluyó con un llamado a la acción: “Esta es una carrera de largo aliento. La ciberseguridad debe entenderse como un valor estratégico. No basta con tener tecnología: necesitamos cultura, coordinación y responsabilidad”, afirmó Álvarez.

Finalmente, invitó a los presentes a conocer la plataforma digital de la ANCI (www.anci.gob.cl), donde es posible registrarse como sujeto regulado, revisar las normativas, consultar la taxonomía oficial de incidentes y acceder a material de capacitación.

El evento terminó con una instancia de networking entre los asistentes, reafirmando la importancia de la colaboración público-privada en la defensa del ecosistema digital chileno.

PPT ANCI