La Ley 21.663 lleva vigente desde marzo de 2025. Y en ese tiempo, el patrón que más se repite al evaluar empresas chilenas no es la falta de tecnología — es la falta de estructura.
Las organizaciones tienen antivirus, usan la nube, manejan contraseñas. Pero cuando se revisa el cumplimiento real con la ley, aparecen las mismas cinco brechas una y otra vez. Ninguna requiere una inversión millonaria para cerrar. Todas representan un riesgo legal concreto mientras permanezcan abiertas.
1. No hay una política de seguridad documentada y aprobada
Qué dice la ley: La Ley 21.663 exige que las organizaciones obligadas cuenten con una política de seguridad de la información escrita, aprobada formalmente por la dirección y comunicada a todos los empleados.
Por qué es grave: Una política informal no existe para efectos legales. Si la ANCI fiscaliza tu empresa y preguntan por la política de seguridad, "tenemos reglas pero no están escritas" no es una respuesta válida. Tampoco lo es un documento genérico descargado de internet que nadie ha revisado ni adoptado formalmente.
La ausencia de política documentada es, además, síntoma de algo más profundo: sin ese marco escrito, es imposible saber si los controles técnicos que tienes son suficientes, adecuados o coherentes con tu operación real.
Cómo cerrarla: Redacta una política que describa cómo tu organización gestiona el acceso a sistemas, los datos de clientes, los incidentes de seguridad y las responsabilidades de cada rol. Que sea presentada y aprobada en directorio o gerencia. Que los empleados la conozcan y la firmen. No necesita tener cien páginas — necesita ser real y vigente.
2. No existe protocolo de reporte de incidentes
Qué dice la ley: Ante un incidente de ciberseguridad significativo, la ley establece un plazo de 3 horas para notificar al CSIRT Nacional. El plazo corre desde que detectas el incidente, no desde que lo confirmas ni desde que terminas de contenerlo.
Por qué es grave: Tres horas es muy poco tiempo para una organización que no tiene el proceso preparado. En la práctica, sin un protocolo, los primeros minutos se pierden en confusión: ¿quién avisa? ¿qué se reporta? ¿en qué plataforma? ¿con qué nivel de detalle? Cuando se responde esas preguntas, el plazo ya venció.
El incumplimiento del plazo de notificación es una infracción independiente del incidente en sí. Es decir: puedes gestionar perfectamente el ataque, recuperar todos tus sistemas sin pérdida de datos, y aun así recibir una sanción por no haber notificado a tiempo.
Cómo cerrarla: Define un protocolo de respuesta a incidentes que establezca: quién es el responsable de tomar la decisión de notificar, cuáles incidentes califican como significativos, cómo se accede al portal del CSIRT Nacional, y qué información mínima debe incluirse en la notificación. Ese protocolo debe estar documentado, conocido por las personas que lo ejecutarán, y ensayado al menos una vez al año.
3. Sistemas críticos sin doble factor de autenticación
Qué dice la ley: La ley y las normas técnicas de la ANCI establecen controles de acceso como requisito mínimo para los sistemas que manejan información sensible o infraestructura crítica. El doble factor de autenticación (2FA) es parte de ese estándar.
Por qué es grave: Una contraseña sola no es suficiente. Las contraseñas se filtran, se reutilizan, se adivinan. El vector de entrada más frecuente en los ataques a empresas medianas no es una vulnerabilidad técnica sofisticada — es una credencial comprometida que nadie detectó.
Si el correo corporativo del gerente financiero, el sistema de facturación o el panel de administración del sitio web solo requieren usuario y contraseña para ingresar, existe un riesgo real y concreto que la ley espera que hayas mitigado.
Cómo cerrarla: Activa 2FA en los sistemas más críticos primero: correo corporativo, herramientas de gestión, accesos administrativos. Las soluciones más usadas son gratuitas — Google Authenticator y Microsoft Authenticator no tienen costo. Lo que requiere es la decisión de implementarlo y un proceso ordenado de activación para todo el equipo.
4. Respaldos que nadie ha probado
Qué dice la ley: La ley exige que las organizaciones cuenten con planes de continuidad operacional y recuperación ante incidentes. Eso incluye respaldos de información verificados y funcionales.
Por qué es grave: La brecha más frecuente no es no tener respaldos — es tener respaldos que nadie ha probado. El sistema de backup lleva años corriendo automáticamente, pero nadie ha verificado que los archivos se puedan restaurar, que el proceso funcione en el tiempo esperado, o que cubra los sistemas realmente críticos.
Un respaldo que no se puede restaurar en el momento de una crisis no es un respaldo: es una ilusión de seguridad. Y en el contexto de un ransomware o una falla grave, descubrir que el respaldo no funciona cuando más lo necesitas es el peor momento para saberlo.
Cómo cerrarla: Programa una prueba de restauración al menos dos veces al año. Documenta el resultado: qué se restauró, cuánto tardó, qué problemas aparecieron. Verifica que los respaldos cubren los sistemas y datos que realmente importan, y que están almacenados en una ubicación separada del entorno principal — un respaldo en el mismo servidor que fue atacado no sirve de nada.
5. Sin programa de capacitación para empleados
Qué dice la ley: La Ley 21.663 exige explícitamente que el personal de las organizaciones obligadas reciba capacitación en buenas prácticas de ciberseguridad. No es una recomendación: es un requisito con el mismo peso legal que los controles técnicos.
Por qué es grave: El ataque más exitoso contra empresas medianas no requiere explotar una vulnerabilidad técnica. Requiere que un empleado haga clic en un enlace de phishing, entregue sus credenciales en una página falsa, o descargue un archivo que parece legítimo.
Una empresa puede tener todos los controles técnicos correctamente implementados y aun así sufrir una brecha grave si el equipo no sabe identificar un intento de ingeniería social. La tecnología protege hasta donde llega; las personas protegen el resto.
Cómo cerrarla: No se necesita un programa de certificación de 40 horas. Una sesión de una hora cada trimestre, con casos reales y ejemplos concretos adaptados al tipo de empresa, puede marcar una diferencia significativa. Lo importante es que sea periódica, registrada y adaptada a los riesgos reales que enfrenta tu organización — no una presentación genérica que nadie recuerda a la semana siguiente.
¿Cuántas de estas brechas reconoces en tu empresa?
Si tres o más de estas situaciones describen tu realidad actual, tienes un nivel de cumplimiento bajo con la Ley 21.663. Y el momento de cerrar esas brechas es antes de una fiscalización, no después.
La buena noticia es que ninguna de estas brechas requiere tecnología cara ni consultores externos de alto costo para cerrarla. Lo que requieren es un diagnóstico claro, priorización correcta y un plan de acción estructurado.
¿Quieres saber exactamente dónde están tus brechas? Haz el diagnóstico de cumplimiento Ley 21.663 — 30 preguntas en los 5 bloques normativos de la ley, con un reporte detallado y un plan de acción priorizado para tu empresa.