En Chile, la ciberseguridad y la protección de datos dejaron de ser buenas prácticas para convertirse en obligaciones legales. La Ley 21.663, Marco de Ciberseguridad, y la nueva Ley 21.719 de protección de datos personales cambiaron las reglas para miles de organizaciones.


La mayoría de los artículos escritos sobre estas leyes las aborda desde el cumplimiento: qué documentar, qué políticas redactar, qué formularios llenar. Es una mirada necesaria, pero incompleta. Porque ambas leyes, en el fondo, no piden papeles: piden que tu seguridad funcione de verdad, y eso no se declara, se prueba.


En este artículo revisamos qué es cada ley, qué exigen, cómo se conectan, y por qué la seguridad ofensiva (el hacking ético) es la pieza que demuestra que lo que declaras en tus políticas resiste en la práctica. Antes de partir, una aclaración: esto es contenido informativo, no asesoría legal.

Ley 21.663: el Marco de Ciberseguridad

La Ley 21.663 establece la institucionalidad y las obligaciones de ciberseguridad en Chile. Crea la Agencia Nacional de Ciberseguridad (ANCI) como regulador, con facultades para dictar estándares, fiscalizar y sancionar, y ordena el reporte de incidentes a través del CSIRT Nacional.


No aplica a todos por igual. Su foco son los servicios esenciales (energía, telecomunicaciones, banca y servicios financieros, salud, transporte, agua, infraestructura digital, entre otros) y, dentro de ellos, los operadores de importancia vital (OIV), que la ANCI califica según su criticidad. Si tu organización opera en uno de esos sectores, es muy probable que quedes dentro del alcance.


Las obligaciones más relevantes, sobre todo para los operadores de importancia vital, incluyen:


  • Un sistema de gestión de seguridad de la información continuo, que identifique riesgos y evalúe su probabilidad e impacto.
  • Planes de continuidad operacional y de ciberseguridad, certificados y revisados de forma periódica.
  • Realizar de forma continua operaciones de revisión, ejercicios, simulacros y análisis de las redes y sistemas para detectar lo que comprometa la ciberseguridad.
  • Reportar los incidentes con impacto significativo al CSIRT Nacional, con plazos exigentes: una alerta temprana en 3 horas, una actualización en 72 horas y un informe final en 15 días.
  • Aplicar la seguridad y la privacidad desde el diseño en los sistemas.

Ese tercer punto es clave, y volveremos a él: la propia ley exige probar la seguridad de forma continua, no solo describirla.

La nueva ley de protección de datos personales (Ley 21.719)

En paralelo, Chile actualizó su régimen de protección de datos personales con la Ley 21.719, que reemplaza a la antigua Ley 19.628 de 1999. Moderniza el estándar, crea una Agencia de Protección de Datos con capacidad de fiscalizar y multar, y entra en plena aplicación hacia fines de 2026.


Para lo que nos importa aquí, la ley exige, entre otras cosas:


  • Adoptar medidas de seguridad técnicas y organizativas apropiadas para proteger los datos personales.
  • Notificar las brechas, es decir, las vulneraciones de seguridad, a la autoridad y, cuando corresponda, a las personas afectadas.
  • Un trato reforzado para los datos sensibles, como los de salud.
  • Responsabilidad proactiva: no basta con no fallar, también hay que poder demostrar que se tomaron las medidas.

De nuevo aparece la misma idea: medidas de seguridad efectivas y capacidad de demostrarlas.

Dos leyes, un mismo problema de fondo

Aunque regulan cosas distintas, la Ley 21.663 y la de datos personales se cruzan en la práctica más de lo que parece.


Una brecha de datos personales suele ser, al mismo tiempo, un incidente de ciberseguridad. Si una organización es un operador de importancia vital y sufre una fuga que expone datos de clientes, el mismo evento puede activar el deber de reportar de la Ley 21.663 y la notificación de brecha de la ley de datos. Dos relojes corriendo a la vez.


Y ambas apuntan al mismo terreno técnico: los controles de acceso, la exposición de información y las vulnerabilidades explotables. Una falla de autorización como un IDOR o un BOLA, por ejemplo, es a la vez un problema de ciberseguridad y la puerta por la que se filtran datos personales.


El denominador común es claro: las dos leyes exigen seguridad efectiva y demostrable. Y ahí es donde el papeleo se queda corto.

Cumplir no es estar seguro

Se puede tener una política de seguridad impecable, un sistema de gestión documentado y todos los formularios al día, y aun así ser vulnerable. El cumplimiento en papel describe lo que debería pasar; no garantiza que pase.


La forma de cerrar esa brecha entre lo declarado y lo real es ponerlo a prueba, en el lugar de un atacante. Es exactamente lo que hace la seguridad ofensiva, y es, además, lo que la propia Ley 21.663 pide de manera explícita.


El artículo 8 obliga a los operadores de importancia vital a realizar ejercicios, simulacros y análisis de forma continua para detectar lo que comprometa su seguridad. El artículo 11 faculta a la ANCI para exigir pruebas que demuestren que los planes de continuidad y ciberseguridad efectivamente funcionan. Y el principio de seguridad desde el diseño empuja a validar los sistemas mientras se construyen, no después.


Dicho de otro modo: el hacking ético no es un extra que la ley tolera, es una forma directa de cumplir lo que la ley ordena.


Vale aclarar un punto que a veces se malinterpreta. La ley menciona un principio de respuesta responsable que prohíbe las operaciones ofensivas; ese principio se refiere a la respuesta del Estado ante incidentes, no al pentesting que una organización contrata sobre sus propios sistemas y con su autorización. El hacking ético consentido es legal y es, precisamente, lo que las buenas prácticas promueven.

Qué aporta el hacking ético que el compliance no

El cumplimiento y la seguridad ofensiva no compiten: se complementan. El compliance define qué hay que lograr; la seguridad ofensiva demuestra si se logró.


Un ejercicio ofensivo bien hecho responde preguntas que ningún documento responde:


  • ¿Los controles de acceso realmente impiden que un usuario vea los datos de otro?
  • ¿Una cadena de vulnerabilidades permite llegar desde internet hasta la base de datos de clientes?
  • ¿Tus defensas resisten, o solo existen en el diagrama?
  • Si ocurriera un incidente reportable, ¿qué datos personales quedarían expuestos y con qué impacto?

Esas respuestas son las que alimentan un sistema de gestión que sirve, una notificación de incidente precisa y una remediación priorizada por lo que de verdad importa.

Cómo ayuda Quarancle, desde el lado ofensivo

En Quarancle trabajamos desde la seguridad ofensiva: encontramos y reportamos vulnerabilidades reales antes de que las use un atacante o desencadenen un incidente.


Y lo hacemos teniendo estas leyes en cuenta. Al ejecutar un ejercicio y al reportar cada hallazgo, consideramos su impacto sobre los datos personales, la exposición que podría gatillar un deber de notificación, y la priorización según lo que más expone a tu organización. Nuestros informes están pensados para que tu equipo actúe, no para llenar una carpeta.


Ahora, seamos claros en lo que no hacemos: no somos una consultora de cumplimiento ni redactamos la documentación legal para satisfacer estas leyes. Esa función es de tu equipo legal, de compliance o de tu delegado de protección de datos. Lo nuestro es el lado técnico y ofensivo, y alimenta directamente esa postura: la evidencia de que se realizaron pruebas, que la Ley 21.663 exige; la validación de que los controles resisten; y los hallazgos concretos que tu equipo necesita corregir antes de que aparezca un regulador o un atacante.

En resumen

La Ley 21.663 y la nueva ley de datos personales suben la vara de la ciberseguridad en Chile, y lo hacen pidiendo algo más que documentos: piden seguridad que funcione y que se pueda demostrar.


Cumplir no es lo mismo que estar seguro. La ley te dice qué tienes que lograr; un ejercicio de seguridad ofensiva bien conducido te dice si de verdad lo lograste, poniendo a prueba tus controles como lo haría un adversario real. Ese es el aporte que ningún formulario reemplaza.


Este artículo es contenido informativo y no constituye asesoría legal. Para el alcance y las obligaciones específicas que apliquen a tu organización, consulta con tu equipo legal o de cumplimiento.