9 de enero de 2026
Lo barato cuesta caro
Contexto
En un Chile donde los ciberataques, como el ransomware o el phishing, y las disrupciones en las cadenas de suministro parecen estar a la orden del día, es imperativo prepararse de la mejor forma posible. El objetivo es claro: proteger los activos de la organización y evitar un daño reputacional irreversible.
En este escenario, la Resolución Exenta N° 87 emitida por la Agencia Nacional de Ciberseguridad (ANCI) y publicada el pasado 16 de diciembre, marca un avance regulatorio clave. Este documento aprueba la nómina final del primer proceso de calificación de Operadores de Importancia Vital (OIV), reduciendo la lista preliminar de 1.712 a 915 entidades públicas y privadas; una depuración relevante del 46%.
Recordemos que, de acuerdo con la Ley N° 21.663 (Ley Marco de Ciberseguridad) y su reglamento, se calificarán como OIV aquellas entidades cuya provisión de servicios dependa de redes y sistemas informáticos, y donde la interrupción o destrucción de estos genere un impacto significativo en la seguridad y el orden público.
Implicancias
Para los líderes organizacionales, ser catalogado como OIV cambia el paradigma. La ciberseguridad pasa a ser un tema central en las conversaciones de directorio. El deber de establecer un marco de gobernanza, implementar un Sistema de Gestión de Seguridad de la Información (SGSI), evaluar planes de continuidad, revisar operaciones constantemente, activar protocolos de reporte y realizar capacitaciones (artículo 8°), supone una discusión presupuestaria prioritaria. Es una decisión corporativa determinada a garantizar la seguridad de la información para, en última instancia, resguardar la integridad de las personas.
Las sanciones no son un aspecto menor: las multas pueden llegar hasta las 40.000 UTM, sin mencionar la acumulación con infracciones "hermanas", como las de la Ley de Protección de Datos o la de Delitos Informáticos. Sin embargo, aunque la normativa aumenta la carga regulatoria, también ofrece una oportunidad de diferenciación para posicionarse como un referente de vanguardia tecnológica en Chile, otorgando un sello distintivo en el mercado.
Cursos de acción
Si bien las decisiones de la administración son obligatorias, en ciertos casos también son impugnables. Esto sugiere que las futuras incongruencias entre la Agencia y los sujetos obligados se resolverán mediante recursos administrativos o judiciales.
Respecto a la vía administrativa, es posible distinguir dos herramientas:
- El recurso de reposición: Debe interponerse dentro de un plazo de 5 días ante el propio órgano administrativo, buscando la reconsideración de la calificación como OIV.
- El recurso extraordinario de revisión: También se interpone ante la Agencia, pero dentro del plazo de un año contado desde el día siguiente a aquel en que se dictó la resolución.
Finalmente, existe la vía judicial mediante el reclamo de ilegalidad ante la Corte de Apelaciones respectiva, el cual debe presentarse en un plazo de 15 días hábiles desde la notificación. Estos mecanismos, arraigados en la Ley Marco y en la Ley de Procedimientos Administrativos, garantizan el debido proceso y el equilibrio entre la autoridad regulatoria y los derechos de las personas, exigiendo estándares constantes de eficiencia y eficacia.
Lo que viene
Quienes quedaron excluidos de esta nómina ganan, por ahora, un respiro temporal. Un segundo proceso considerará a empresas proveedoras de servicios de transporte, combustibles, mensajería y farmacéuticas, con una lista preliminar esperada para marzo de 2026.
Esta resolución invita a la introspección: la resiliencia en materia de ciberseguridad ya no es una opción, sino un imperativo estratégico para la sostenibilidad del negocio en el tiempo.
Este panorama regulatorio está evolucionando rápidamente y la discusión apenas comienza. Los invitamos a compartir sus reflexiones o plantear sus dudas en la sección de comentarios de nuestra publicación en LinkedIn.
