Chile dio un salto institucional en materia de ciberseguridad. Así lo consigna el Cybersecurity Report 2025: Vulnerability and Maturity Challenges to Bridging the Gaps in Latin America and the Caribbean, elaborado por el Banco Interamericano de Desarrollo (IDB), la Organización de Estados Americanos (OAS) y la Universidad de Oxford.

El documento posiciona a Chile dentro del grupo de naciones que han consolidado estrategia, gobernanza y marco legal, alineando la ciberseguridad con desarrollo económico, inclusión digital y protección de derechos. Y advierte que el nuevo estándar regulatorio ya no deja la ciberseguridad como un asunto técnico y pasa a ser un tema de gobierno corporativo, continuidad operacional y riesgo reputacional.

Nueva institucionalidad

El informe destaca que Chile desarrolló su segunda Política Nacional de Ciberseguridad 2023–2028, que actualiza la estrategia anterior y fija objetivos explícitos en resiliencia de infraestructura crítica, cooperación internacional, cultura de ciberseguridad y protección de derechos digitales. El cambio estructural más relevante es la entrada en vigencia de la Ley Marco sobre Ciberseguridad (Ley N° 21.663), que creó la Agencia Nacional de Ciberseguridad (ANCI), organismo que comenzó a operar en 2025 con facultades de supervisión, coordinación de vulnerabilidades, respuesta a incidentes y potestad sancionatoria para el sector público y privada.

El antiguo CSIRT gubernamental pasó a convertirse en el CSIRT Nacional bajo la nueva agencia, consolidando capacidades y centralizando la coordinación de incidentes.

Para las empresas, este no es un ajuste menor: el regulador ahora existe, tiene mandato legal y herramientas de fiscalización.

Nuevas obligaciones para el sector privado

Uno de los puntos más sensibles para el mundo empresarial es la definición de Operadores de Importancia Vital (OIV). La ley establece que sectores como energía, telecomunicaciones, finanzas, salud y otros considerados críticos deberán implementar sistemas robustos de gestión de seguridad de la información, someterse a auditorías y reportar incidentes significativos.

Además, la ANCI tiene la facultad de actualizar periódicamente la lista de operadores críticos, lo que introduce un elemento dinámico al régimen regulatorio.

En la práctica, esto implica:

• Mayores inversiones en ciberseguridad.
• Formalización de matrices de riesgo.
• Integración del riesgo cibernético en comités de auditoría y directorios.
• Nuevas exigencias de cumplimiento y reporting.
• Protección de datos: 2026 marca un nuevo umbral

El informe también subraya la aprobación de la nueva Ley de Protección de Datos Personales (21.719), publicada en diciembre de 2024 y que entrará en plena vigencia el 1 de diciembre de 2026. Esta norma crea una Agencia de Protección de Datos con facultades fiscalizadoras y refuerza estándares alineados con marcos internacionales. El propio reporte destaca que Chile está consolidando un enfoque que reconoce la interdependencia entre ciberseguridad, derechos humanos y protección de datos.

Para las empresas, esto significa que la gestión de incidentes ya no se limita a continuidad operativa: pasa también por privacidad, sanciones regulatorias y reputación.

Alta digitalización, mayor superficie de ataque

Chile es uno de los países más digitalizados de la región. Más del 93% de los trámites públicos se realizan digitalmente y el sistema de identidad digital ClaveÚnica supera los 15 millones de usuarios activos. Ese nivel de digitalización fortalece competitividad y eficiencia, pero también amplía la superficie de ataque. El informe sugiere que la madurez en ciberseguridad está correlacionada con mejores resultados en gobierno digital, y menciona a Chile junto a Uruguay, Colombia y Costa Rica como ejemplos de ese ciclo virtuoso.

La ecuación es clara: sin confianza digital, no hay transformación sostenible.

Avances regionales y brechas pendientes

El estudio utiliza el Cybersecurity Capacity Maturity Model (CMM) de Oxford, que evalúa cinco dimensiones: estrategia, cultura, capacidades, marco legal y estándares tecnológicos. A nivel regional, entre 2020 y 2025 se observa un aumento general en la madurez de los países. Sin embargo, persisten brechas relevantes en:

• Protección de infraestructura crítica.
• Calidad de software.
• Desarrollo del mercado de ciberseguridad.
• Investigación e innovación en la materia.

Estas brechas no son abstractas. Impactan directamente en la resiliencia empresarial, en la capacidad de respuesta ante ransomware y en la dependencia de proveedores externos.

El verdadero desafío: cultura y liderazgo

El informe insiste en que la ciberseguridad debe integrarse en la cultura organizacional y situarse al más alto nivel de decisión

Esto implica que:

• No puede quedar restringida al área de TI.
• Debe formar parte de la agenda de directorio.
• Requiere capacitación transversal.
• Exige coordinación público-privada constante.