La Ley Marco de Ciberseguridad de Chile: Cómo los equipos de seguridad pueden cumplir con la normativa y estar preparados para responder a incidentes

En Chile, el cumplimiento de la normativa de ciberseguridad es cada vez más una cuestión operativa, y no solo jurídica. De acuerdo con la nueva Ley Marco de Ciberseguridad, las organizaciones deben demostrar que cuentan con capacidades reales para la detección de amenazas, el análisis de incidentes y la respuesta a ellos. Para muchos equipos, esto revela una grave brecha entre las expectativas regulatorias y las operaciones de seguridad cotidianas.

Puntos clave

• La Ley Marco de Ciberseguridad de Chile aumenta la presión sobre la preparación operativa: Los líderes de seguridad necesitan equipos capaces de detectar amenazas, investigar incidentes y respaldar las decisiones de respuesta sin dilación.
• Una investigación lenta puede devenir rápidamente en un riesgo empresarial: Una respuesta tardía debilita la evidencia, aumenta la presión regulatoria y dificulta la gestión de la revisión tras el incidente.
• Ahora es más importante una clasificación más rápida y una evidencia más claras: Contar con una mayor visibilidad de las actividades sospechosas ayuda a reducir las interrupciones, mejorar la calidad de los reportes y favorecer la toma de decisiones más rápidas en plazos reducidos.
• Para los líderes empresariales, tanto la continuidad como el cumplimiento normativo son fundamentales: Los equipos deben ser capaces de controlar los incidentes, documentar las acciones y mantener el control durante el escrutinio reglamentario.
• Las soluciones empresariales de ANY.RUN ayudan a reducir el riesgo operativo bajo la presión del cumplimiento normativo: Contribuyen a agilizar las investigaciones, reforzar la evidencia y a un mejor control de los flujos de trabajo de análisis.

El cambio regulatorio

Chile ha dado un paso decisivo hacia reforzar su postura nacional con respecto a la ciberseguridad tras la aprobación de la Ley n.º 21.663, la Ley Marco de Ciberseguridad. Esta legislación establece medidas de ciberseguridad obligatorias para las organizaciones clasificadas como:

• Operadores de Importancia Vital (OIV)
• Operadores de servicios esenciales
• Entidades críticas del sector público

A diferencia de los marcos de cumplimiento tradicionales centrados en políticas y documentación, el enfoque de Chile se basa en los resultados y en el riesgo. Las organizaciones deben demostrar capacidades operativas reales, no sólo limitarse a un cumplimiento meramente formal. Con la intensificación de las medidas de aplicación y las auditorías entre 2025 y 2026, el plazo para el cumplimiento normativo se está acortando rápidamente.

El alcance es amplio. Se estima que unas 915 organizaciones de los sectores de la energía, las telecomunicaciones, la banca y los servicios financieros, infraestructura digital, atención sanitaria,y las instituciones públicas ahora deben demostrar su preparación en materia de ciberseguridad.

Lo que la nueva ley exige a los equipos de seguridad

La Ley Marco de Ciberseguridad de Chile no exige herramientas específicas, pero sí establece expectativas claras en materia de preparación operativa. Se espera que las organizaciones reguladas cumplan los siguientes puntos:

• Detección efectiva de amenazas: Identificar la actividad maliciosa antes de que ocasione daños

• Análisis y respuesta oportunos ante incidentes: Comprender qué sucedió, cómo y qué hacer al respecto

• Gestión continua de riesgos: Adaptar las defensas conforme evoluciona el panorama de amenazas

• Reportes basados en pruebas: Presentar reportes detallados y fundamentados al CSIRT nacional de Chile y a las autoridades reguladoras

Las entidades reguladas deben aplicar medidas técnicas y organizativas de forma permanente para prevenir, notificar y resolver incidentes de ciberseguridad siguiendo los protocolos de la ANCI y las normas específicas del sector. También deben notificar los ciberataques e incidentes significativos al CSIRT nacional dentro de un plazo definido.

Para los operadores de vital importancia, la barra está más alta. Los OIV deben implementar un sistema de gestión continua en materia de seguridad de la información, mantener registros de las medidas de seguridad, desarrollar e implementar planes de continuidad operativa y de ciberseguridad, certificar dichos planes, revisarlos por lo menos cada dos años, realizar inspecciones y ejercicios de forma continua, adoptar medidas de contención rápidas, capacitar al personal y nombrar a un delegado de ciberseguridad que actúe como contraparte formal de la ANCI. Dicho delegado debe contar con la experiencia pertinente, una línea de reporte directa a la alta dirección y ser funcionalmente independiente de las operaciones diarias de TI.

Reduzca el riesgo empresarial antes de que los retrasos se tornen costosos
Actúe más rápido y tome decisiones de seguridad más sólidas con ANY.RUN
Potencie su SOC

Los plazos de reporte son especialmente importantes para los CISO, los directores de SOC y los MSSP que prestan servicios a clientes sujetos a regulación. La ley exige una notificación temprana en un plazo de tres horas a partir del momento en que se tenga conocimiento de un incidente significativo, la presentación de un reporte actualizado en un plazo de 72 horas y la presentación de un reporte final en un plazo de 15 días. Si la entidad afectada es un OIV y el incidente interrumpe su servicio esencial, el plazo para la presentación del segundo reporte se reduce a 24 horas. Los OIV también deben comunicar un plan de acción formal en un plazo de siete días.

El cambio fundamental es sencillo: la ley se centra menos en la intención documentada y más en la capacidad probada. No es suficiente con decir que se han establecido controles. Las organizaciones deben demostrar que pueden investigar actividades sospechosas, confirmar si una amenaza es real y respaldar las decisiones de respuesta con evidencia.

Esto cambia el estándar para los equipos de seguridad. Las alertas no son suficientes por sí solas. Los equipos necesitan visibilidad, un análisis más rápido y un rastro de investigación fiable que puedan respaldar durante la presentación de reportes, las auditorías y la revisión posterior al incidente.

Lo que puede costar el incumplimiento

El riesgo legal es alto. Las infracciones leves pueden ser multadas con hasta 5 000 UTM, las graves con hasta 10 000 UTM y las muy graves con hasta 20 000 UTM. En el caso de los operadores de importancia vital, esos límites máximos se duplican hasta alcanzar 10 000, 20 000 y 40 000 UTM, respectivamente. 

Para la alta dirección, el riesgo empresarial va más allá de la propia multa. Cuando los equipos no son capaces de investigar rápidamente una actividad sospechosa, explicar lo ocurrido o presentar pruebas sólidas sobre el incidente, las consecuencias pueden traducirse en una interrupción más prolongada, una comunicación más lenta con las autoridades y una mayor vulnerabilidad durante las auditorías. Por eso, esta ley no debe considerarse únicamente como una cuestión jurídica. Se trata también de una cuestión de detección, respuesta y preparación operativa.

El desafío del cumplimiento normativo: por qué es difícil

Para los SOC y los equipos de respuesta a incidentes en todo Chile, los nuevos requisitos generan una presión operativa significativa:

^{Retos para los equipos de seguridad en Chile}

1. Sobrecarga de alertas, capacidad de análisis limitada

Las organizaciones chilenas enfrentan el mismo inconveniente que afecta a los SOC de todo el mundo: demasiadas alertas y poco tiempo para investigarlas adecuadamente. Los equipos de los SOC se ven abrumados por el ruido generado por las plataformas de SIEM y EDR, por lo que les cuesta distinguir las amenazas reales de los falsos positivos.

2. Escasez de talento

La falta de personal calificado en ciberseguridad es grave en América Latina. De acuerdo con datos del sector, Latinoamérica sufre aproximadamente 2 716 ciberataques por organización a la semana, una cifra que supera ampliamente la media mundial. No obstante, el número de analistas capacitados es insuficiente para satisfacer las demandas de investigación.

3. Cuellos de botella en el análisis de malware

Muchas soluciones de sandbox emiten un veredicto, pero ofrecen una visibilidad limitada sobre el comportamiento de la amenaza o su relevancia. Cuando los organismos reguladores solicitan reportes detallados de incidentes, los equipos de seguridad necesitan algo más que una etiqueta de "malicioso" o "benigno". Necesitan pruebas, contexto y una visión más clara de la cadena de ataque.

4. Mayor sofisticación de las amenazas

Los atacantes que operan en América Latina, especialmente en los sectores bancario y financiero de Chile, están desplegando familias de malware específicas de la región, como Mekotio, Grandoreiro, y Casbaneiro. Estas amenazas utilizan técnicas de evasión novedosas diseñadas específicamente para burlar los sistemas de detección heredados.

Cierre las brechas de seguridad con una mejor visibilidad, análisis y respuesta ante las amenazas

En el nuevo marco normativo de Chile, las brechas de seguridad ya no son sólo vulnerabilidades técnicas. Pueden traducirse en incumplimientos normativos, retrasos en la emisión de reportes y riesgos empresariales más amplios. ANY.RUN ayuda a las organizaciones a cerrar esas brechas con una mayor visibilidad de las amenazas, un análisis más rápido y flujos de trabajo de respuesta más sólidos.

1. Inteligencia de amenazas para una mejor visibilidad y priorización

Una de las partes más difíciles del cumplimiento normativo es saber qué amenazas merecen atención inmediata. Los equipos de seguridad ya se enfrentan a grandes volúmenes de alertas, pero la nueva ley aumenta la necesidad de una supervisión que no sólo sea activa, sino también relevante para el riesgo empresarial real.

La búsqueda de inteligencia de amenazas de ANY.RUN ayuda a los equipos a enfocarse en las amenazas de mayor relevancia para su entorno. En lugar de tratar la inteligencia de amenazas como cualquier otro conjunto de datos, funciona como una capa operativa que conecta el contexto de la amenaza con la priorización y la acción a lo largo del ciclo de vida del SOC. En lugar de limitarse a indicadores genéricos, las organizaciones pueden investigar las amenazas a través de un contexto específico del sector y la ubicación geográfica.

Por ejemplo, una consulta como submissionCountry:"CL" AND industry:"banking" puede ayudar a los equipos a entender cuáles son las amenazas que apuntan activamente al sector financiero de Chile. Esto ofrece a los analistas un contexto más rápido para el triage, facilita la gestión continua de riesgos y ayuda a las organizaciones a diseñar sistemas de vigilancia basados en amenazas reales, en lugar de suposiciones.

^{Actividad de amenazas dirigidas al sector financiero chileno, visible en TI Lookup}

Con este enfoque, las organizaciones pueden:

• centrar sus esfuerzos en materia de seguridad en las amenazas más relevantes para su sector
• mejorar la priorización de los flujos de trabajo de monitoreo y clasificación
• reducir los retrasos en las investigaciones causados por alertas con poco contexto
• reforzar la gestión continua de riesgos con una visibilidad más relevante de las amenazas
• crear una base más sólida para respaldar las respuestas y los reportes

2. Análisis de comportamiento para una investigación más rápida y evidencia más clara

La visibilidad de las amenazas es sólo el primer paso. Una vez que se detecta un archivo, una URL o un correo electrónico sospechoso, los equipos todavía necesitan comprender qué hace realmente, cuál es su gravedad y qué medidas deben tomarse posteriormente.

El sandbox interactivo de ANY.RUN ayuda a los equipos de seguridad a investigar las amenazas por medio de un análisis de comportamiento real. En lugar de recibir sólo un veredicto, los analistas pueden observar la actividad maliciosa conforme se desarrolla, comprender la cadena de ataque, extraer indicadores y ver el contexto más amplio del incidente. Esto facilita la validación más rápida de las amenazas, respalda las decisiones de contención y genera pruebas más claras para la elaboración de reportes, auditorías y revisiones posteriores al incidente.

^{Análisis de amenazas realizado en el sandbox de ANY.RUN}

En la práctica, esto permite a las organizaciones:

• entender cómo se comporta una amenaza, no sólo si es de naturaleza maliciosa
• confirmar el impacto con mayor rapidez y tomar decisiones de respuesta con mayor confianza
• extraer los IOC y otras pruebas para la elaboración de reportes y la investigación posterior
• facilitar la contención mediante una visibilidad más clara de la actividad del atacante
• crear un registro de investigación más sólido para las auditorías y la revisión de incidentes

3. Integraciones y fuentes sobre amenazas para una detección y respuesta más rápidas

El cumplimiento de los requisitos normativos también depende del tiempo que tarden los equipos de seguridad en pasar de la detección a la acción. Cuando los datos sobre amenazas quedan aislados en herramientas independientes o requieren un tratamiento manual, el triage se ralentiza, la respuesta pierde consistencia y la elaboración de reportes se complica frente a plazos ajustados.

ANY.RUN ayuda a reducir esa fricción conectando la inteligencia de amenazas y el análisis de sandbox directamente a los flujos de trabajo de seguridad existentes mediante conectores preconfigurados, STIX/TAXII y opciones de API/SDK. Esto permite a los equipos trasladar los datos de investigación a entornos SIEM, SOAR, EDR y TIP más rápidamente, de manera que el enriquecimiento, la correlación y la respuesta puedan realizarse con un menor esfuerzo manual. 

^{Oportunidades de integración para la inteligencia de amenazas de ANY.RUN} 

Las fuentes de inteligencia de amenazas facilitan continuamente indicadores de actividad maliciosa de alta fiabilidad provenientes de investigaciones de ataques en tiempo real en 15 000 organizaciones y 600 000 analistas, lo que ayuda a los equipos a trabajar con datos de amenazas actualizados en lugar de listas estáticas. 

Esto le da a las organizaciones la capacidad de:

• introducir datos actualizados sobre amenazas directamente en las herramientas de detección y respuesta existentes
• reducir la carga de trabajo manual en los flujos de trabajo de enriquecimiento y triage
• mejorar la calidad de las alertas con indicadores validados y de alta fiabilidad
• acelerar la correlación y la respuesta en todo el entorno del SOC
• crear un modelo de seguridad más escalable y consistente desde el punto de vista operativo

Facilite la preparación para el cumplimiento normativo con privacidad, control y confianza en las auditorías

Los equipos de seguridad también necesitan tener la certeza de que los análisis confidenciales pueden gestionarse en un entorno controlado que respalde la gobernanza interna, la confidencialidad y la preparación para auditorías. Esto es particularmente importante para las organizaciones que operan bajo obligaciones de información más estrictas y un mayor escrutinio regulatorio.

ANY.RUN responde a esa necesidad con seguridad certificada SOC 2 Tipo II y análisis en sandbox privados con control de acceso, diseñados para investigaciones confidenciales.

Las sesiones en el sandbox privado de ANY.RUN se mantienen confidenciales gracias a estrictos controles de acceso y al procesamiento cifrado de los datos, lo que ayuda a las organizaciones a investigar amenazas sin exponer los datos de los casos a la comunidad pública. Para los directivos, este aspecto es importante porque no basta con mejorar la detección y la respuesta. El entorno de investigación también debe cumplir con las expectativas de la empresa en términos de seguridad, privacidad y fiabilidad operativa. 

Esto cobra especial relevancia cuando los incidentes involucran archivos internos confidenciales, entornos regulados o investigaciones que posteriormente puedan ser revisadas por auditores, ejecutivos o autoridades externas. Al reforzar los controles de privacidad en torno a los datos de análisis, las organizaciones pueden reducir el riesgo de exposición accidental, a la vez que proporcionan a los equipos de seguridad una manera menos riesgosa de investigar actividades sospechosas y conservar un rastro de evidencia verificable.

Acerca de ANY.RUN

ANY.RUN, proveedor líder de soluciones interactivas de análisis de malware e inteligencia de amenazas, ayuda a los equipos de seguridad a investigar las amenazas con mayor rapidez y claridad en el ámbito empresarial moderno. 

Permite a los equipos ejecutar archivos y URL sospechosos de manera segura, observar el comportamiento real en un sandbox interactivo, enriquecer los indicadores con contexto inmediato mediante TI Lookup y supervisar la infraestructura maliciosa emergente utilizando fuentes de inteligencia de amenazas. Juntas, estas capacidades ayudan a reducir la incertidumbre en las investigaciones, acelerar el triage y limitar las escalaciones innecesarias en el SOC.  

Preguntas frecuentes

¿Qué cambios supone la Ley Marco de Ciberseguridad de Chile para los líderes de seguridad?

La ley eleva el estándar, pasando de establecer políticas por escrito a demostrar la capacidad operativa en la práctica. Establece requisitos mínimos para prevenir, contener, resolver y responder a incidentes cibernéticos, crea la ANCI como autoridad nacional y dota a los organismos reguladores de una base más clara para la supervisión y las sanciones. En la práctica, esto significa que los equipos de liderazgo necesitan tener la confianza de que las medidas de detección, investigación, notificación y continuidad se mantendrán bajo presión. 

¿Qué organizaciones están más expuestas a estos requisitos?

La ley se aplica a los proveedores de servicios esenciales y a las entidades designadas como Operadores de Importancia Vital u OIV. Los sectores contemplados incluyen áreas como la energía, el agua, las telecomunicaciones, la infraestructura digital, el transporte, la banca y los pagos, los servicios postales y la salud, mientras que la ANCI tiene la facultad de designar oficialmente a los OIV. 

¿Qué esperan los organismos reguladores que una organización sea capaz de demostrar?

Como mínimo, las entidades reguladas deben aplicar de manera permanente medidas para prevenir, notificar y resolver incidentes. En el caso de los OIV, la exigencia es mayor: deben implementar un sistema continuo de gestión de la seguridad de la información, mantener registros de las medidas de seguridad, implementar y revisar planes de continuidad y ciberseguridad, llevar a cabo revisiones y simulacros continuos, capacitar al personal y nombrar a un delegado de ciberseguridad que mantenga informados a sus superiores. 

¿Por qué es tan importante la rapidez de respuesta en virtud de esta ley?

Porque el plazo para la notificación comienza a correr rápidamente. La ley exige una alerta temprana en un plazo de 3 horas a partir del momento en que se tiene conocimiento de un incidente significativo, una actualización en un plazo de 72 horas y un reporte final en un plazo de 15 días. Si un servicio esencial de un OIV se ve afectado, el plazo para la actualización se reduce a 24 horas, y los OIV también deben adoptar un plan de acción en los 7 días siguientes. Para los directivos, esto hace de las demoras en la investigación un riesgo empresarial, no sólo un problema técnico.

¿La ley exige el uso de herramientas específicas?

No. No establece productos determinados. Lo que sí exige es que las organizaciones puedan prevenir, notificar y resolver incidentes, seguir los protocolos y normas de la ANCI y respaldar la continuidad y la gestión de incidentes con una capacidad operativa real. Por ello, los directores deben centrarse menos en el número de herramientas y más la capacidad de los equipos para investigar, tomar decisiones y emitir reportes con la rapidez necesaria cuando sea pertinente. 

¿Por qué es importante la calidad de la investigación para el cumplimiento normativo?

Porque la ley gira en torno a la respuesta, la presentación de reportes y la supervisión. La ANCI puede solicitar la información necesaria para comprender los incidentes, supervisar el cumplimiento y aplicar sanciones, mientras que la ley también hace énfasis en la continuidad, la gestión de riesgos y las medidas documentadas. Para los equipos directivos, esto hace que disponer de pruebas claras y de un historial de investigación sólido sea parte de la preparación para el cumplimiento normativo.