Según un estudio regional de la certificadora G-Certi, el 68% de las empresas en América Latina sufrió al menos un incidente grave de seguridad en 2025, con un costo promedio de US$4,2 millones por brecha.

La misma investigación muestra que aquellas organizaciones que poseen certificación ISO 27001 vigente tienen un 62% menos de impacto financiero, 71% menos de tiempo de inactividad, una diferencia que refuerza la importancia de contar con marcos robustos de ciberseguridad y gestión de riesgos.

En ese contexto, Redvoiss anunció la obtención de la certificación ISO/IEC 27001:2022, “un importante hito que reafirma nuestro compromiso con la seguridad de la información. Los objetivos son concretos: proteger la confidencialidad de los datos personales y comerciales, garantizar la integridad de la información evitando alteraciones no autorizadas, y asegurar la disponibilidad de los sistemas cuando se necesiten”, señala David Iacobucci, CEO de la empresa.

La norma internacional ISO 27001 define los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI) basado en riesgo. Su adopción permite a las empresas identificar amenazas y controles exhaustivos.

Iacobucci destaca que esta certificación “fortalece la identificación de amenazas y vulnerabilidades cibernéticas antes de que ocurran, ayuda a cumplir leyes locales e internacionales de protección de datos, y demuestra a clientes y socios un compromiso serio con la seguridad, en un entorno cada vez más exigente”.

La certificación también adquiere especial relevancia en un escenario marcado por la próxima entrada en vigencia de la nueva Ley de Protección de Datos en Chile, en diciembre de este año. En ese marco, enfoques sistemáticos como ISO 27001 permiten a las empresas demostrar la disponibilidad, integridad y confidencialidad de su información, reduciendo la exposición a incidentes y vulneraciones de seguridad.

En un contexto donde las ciberamenazas, el procesamiento de datos y la Inteligencia Artificial crecen exponencialmente, contar con un marco robusto como ISO 27001 no solamente reduce riesgos financieros, sino que también refuerza la confianza del entorno.

Para el ejecutivo de Redvoiss este es sólo el comienzo; “seguiremos impulsando la excelencia operativa para proteger la información y contribuir a un ecosistema cada vez más seguro”.

La entrada Redvoiss recibe la certificación ISO 27001 se publicó primero en ZonaCISO.

El CyberDay Chile 2026 ya tiene fecha oficial y se realizará desde la medianoche del lunes 1 de junio hasta el miércoles 3 de junio. Organizado por la Cámara de Comercio de Santiago (CCS), el evento reunirá a cientos de marcas con ofertas y descuentos en categorías como tecnología, moda, hogar y viajes, generando uno de los períodos de mayor actividad para el comercio electrónico en el país.

Sin embargo, el aumento de las compras online y de las entregas a domicilio durante este gran evento de ventas online, también abre espacio para nuevas modalidades de fraude. Investigadores de Kaspersky advierten sobre estafas que aprovechan el alto flujo de pedidos asociados a este tipo de eventos, mediante el envío de paquetes falsos a consumidores.

Según explican, los ciberdelincuentes utilizan bases de datos filtradas para enviar encomiendas que incluyen códigos QR maliciosos. Al escanearlos desde sus teléfonos móviles, las víctimas son dirigidas a sitios fraudulentos donde pueden exponer su información personal y bancaria, e incluso ser inducidos a instalar de malware en sus dispositivos.

Los delincuentes utilizan los nombres y direcciones postales registrados en estas bases de datos para crear cuentas en plataformas de comercio electrónico y hacer pedidos, aunque vinculan sus propios correos electrónicos y métodos de pago para no levantar sospechas. Al llegar, el paquete incluye una tarjeta o pegatina con un código QR y un mensaje engañoso diseñado para generar curiosidad, cómo: “¡Recibiste un regalo! Escanea para saber quién lo envió” o “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.

Sin embargo, detrás de este amigable mensaje se oculta una trampa de quishing (phishing a través de códigos QR): si la víctima escanea el código, es dirigida a un sitio web malicioso donde se la persuade a ingresar sus datos de pago o códigos de verificación de sus apps bancarias con el fin de “activar” la supuesta tarjeta de regalo. En otras ocasiones, también se pide instalar una aplicación para confirmar la recepción del paquete y conocer al remitente, pero en realidad es malware disfrazado para acceder y tomar el control del dispositivo.

El nivel de riesgo es alarmante debido al desconocimiento de este tipo de amenazas, pues de acuerdo con un estudio de Kaspersky, 41% de los chilenos no sabe que los códigos QR falsos pueden ser la llave para ataques contra sus cuentas de banca en línea. Además, el origen de esta amenaza evidencia un problema previo de privacidad: si estás recibiendo estos paquetes, significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en foros clandestinos.

“Durante el CyberDay, que es el evento de compras online más importante del año en Chile, aumenta considerablemente la cantidad de envíos y eso también es aprovechado por los ciberdelincuentes para intentar engañar a las personas. Hoy existen estafas donde los usuarios reciben paquetes que nunca compraron o mensajes asociados a supuestas entregas, buscando generar confianza y urgencia para que escaneen códigos QR o ingresen a enlaces maliciosos. El principal riesgo es que muchas veces las víctimas creen que se trata de un error menor o de un envío promocional, cuando en realidad sus datos personales ya están siendo utilizados para fraudes más sofisticados. En este tipo de eventos, la recomendación es desconfiar de cualquier entrega inesperada y verificar siempre la información directamente con el comercio oficial”, explica Leandro Cuozzo, investigador de seguridad en el Equipo Global de Investigación y Análisis para América Kaspersky.

Para evitar ser víctima de este tipo de fraude durante CyberDay y el resto del año, los expertos de Kaspersky recomiendan:

• Desconfía de cualquier paquete no esperado: no lo abras rápidamente. Antes revisa con cuidado las etiquetas, la empresa de mensajería y el nombre de quien lo envía. Si nadie en tu hogar realizó la compra y no esperas obsequios, considéralo como sospechoso.
• Valida la autenticación del envío: si el paquete se entregó mediante un servicio de mensajería conocido y tiene un número de rastreo, visita el sitio web oficial de la empresa e ingrésalo manualmente. Usa sus canales de contacto legítimos, como el chat o teléfono, para confirmar la información del remitente y el estado real de la entrega.
• Nunca escanees códigos QR de origen dudoso y protege tus datos: los códigos impresos en tarjetas de regalo, avisos de entrega fallida o promociones sorpresa dentro de paquetes no solicitados suelen ser trampas. Sospecha si te piden compartir información sensible, descargar aplicaciones o pagar supuestos “impuestos de aduana” o “tarifas de envío”.
• Denuncia el envío sospechoso: repórtalo ante la empresa de entrega a domicilio y las autoridades correspondientes, incluso si no te robaron dinero. Toma fotos del empaque y de la guía, y conserva el paquete físico como evidencia para futuras investigaciones.
• Utiliza una solución de seguridad robusta: contar con un software de ciberseguridad confiable en tu dispositivo móvil, como Kaspersky Premium, es vital. Estas herramientas incluyen protección contra phishing y analizan enlaces en tiempo real, advirtiéndote y bloqueando cualquier amenaza antes de que comprometa tu información personal y financiera.

La entrada Quishing en CyberDay: Kaspersky lanza alerta para Chile se publicó primero en ZonaCISO.

ESET, compañía líder en detección proactiva de amenazas, anuncia el nombramiento de Giuliana Ravenna como su nueva channel manager, siendo así la responsable de la gestión y desarrollo del ecosistema de canales de la organización para Chile y Argentina.

A partir de esta designación, la ejecutiva buscará continuar desarrollando estrategias para seguir con el crecimiento sostenido de la compañía, mientras potencia la red de socios de negocios. Su labor será fundamental para posicionar las soluciones de seguridad en diversos segmentos, trabajando de forma coordinada con la cadena de distribución.

“El nombramiento de Giuliana responde a la necesidad de optimizar y profundizar nuestra estrategia de canales en Chile, un mercado en el que vemos muy buenas proyecciones de crecimiento y oportunidades a futuro. Su experiencia en la gestión comercial de territorios como Argentina, Uruguay, Paraguay y Bolivia será clave para trabajar aún más cerca de nuestros partners, brindando mayor apoyo, foco y acompañamiento en el día a día. Buscamos potenciar el crecimiento de nuestros canales actuales, fortalecer su desarrollo y, al mismo tiempo, avanzar en la incorporación de nuevos socios que nos permitan seguir expandiendo nuestra presencia y generando nuevas oportunidades en estos mercados clave”, menciona Augusto Bainotti, director de ventas de ESET Latinoamérica.

Previo a esta posición, la ejecutiva se desempeñó en el área de Inside Sales donde fue responsable de la gestión comercial de la cartera de clientes activos, enfocándose en métricas de retención y expansión de cuentas a través de procesos de upgrades y cross-sell. Esta experiencia le permitió profundizar su conocimiento sobre la interacción operativa entre la marca, los distribuidores y el cliente final.

La trayectoria de Ravenna en el sector tecnológico se basa en una sólida experiencia profesional, la cual ha complementado con su formación académica técnica, lo que le permite tener una visión integral de las necesidades de seguridad informática de las empresas actuales.

“Asumo este nuevo desafío con entusiasmo y el compromiso de continuar fortaleciendo nuestro ecosistema de canales. Mi principal objetivo es que nuestros partners nos vean como un aliado estratégico para el crecimiento de sus negocios, trabajando en conjunto para llevar soluciones de seguridad a más organizaciones, sobre todo con la Ley Marco en Ciberseguridad y la próxima Ley de Protección de Datos Personales chilena”, asegura Giuliana Ravenna, channel manager para Argentina y Chile de ESET Latinoamérica.

La entrada ESET nombra nueva channel manager para Chile se publicó primero en ZonaCISO.

La norma no es nueva. La CMF la emitió el 17 de junio de 2025, hace casi un año. El plazo de transición fue diseñado para dar tiempo suficiente. La pregunta que deben responder los CISOs del sector financiero esta semana es directa: ¿está tu institución lista o no?

Qué exige la NCG 538

La autenticación reforzada implica validar la identidad del cliente mediante al menos dos factores independientes: algo que sabe (contraseña), algo que tiene (dispositivo) y algo que es (biometría — huella dactilar, reconocimiento facial, voz). Para operaciones de bajo riesgo, la combinación mínima es contraseña más dispositivo. Para transferencias de montos significativos o cambios de datos críticos, la norma empuja hacia la incorporación del factor biométrico.

Lo que la CMF deja en claro en sus considerandos es el contexto que justifica la urgencia: el fraude digital impulsado por IA está erosionando la efectividad de los mecanismos tradicionales. Los sistemas de phishing de nueva generación pueden capturar credenciales en tiempo real. Las tarjetas de coordenadas, que durante años fueron el estándar, son hoy un control insuficiente frente a ataques automatizados.

Según datos del informe de Endeavor Data Unit e Incode Technologies, Chile registró más de 27.600 millones de intentos de ciberataque en 2025, con la banca entre los principales blancos. El costo promedio de una filtración en el país alcanza US$ 3,81 millones. Ese es el escenario de riesgo que la NCG 538 busca mitigar.

La excepción que no es una salida

En marzo de 2026, la CMF puso en consulta una modificación puntual a la norma: permitir que grupos específicos de clientes con dificultades de adopción tecnológica — adultos mayores, personas con limitaciones de accesibilidad o desplazamiento — sigan utilizando tarjetas de coordenadas transitoriamente. Sin embargo, esta excepción no posterga el deadline ni reduce la obligación central. Las instituciones que opten por mantener este grupo deberán informarlo a la CMF antes del 1 de agosto, con justificación documentada, criterios objetivos y cifras exactas de los clientes incluidos.

Dicho de otro modo: la excepción genera su propia carga de cumplimiento. No es una puerta trasera para quienes no alcanzaron a implementar ARC.

Lo que el CISO debe verificar ahora

La NCG 538 no solo establece obligaciones técnicas sobre los sistemas de autenticación. También transfiere la responsabilidad a la institución financiera cuando utiliza soluciones tecnológicas de terceros para cumplir con la norma. El proveedor puede fallar — la obligación regulatoria no se delega.

Los equipos de seguridad y cumplimiento deben responder, como mínimo, tres preguntas antes del 1 de agosto: primero, ¿todos los flujos de operaciones críticas están cubiertos por ARC, o hay canales (web, app móvil, sucursal digital) que aún operan con factores simples? Segundo, ¿la arquitectura de CIAM (Customer Identity and Access Management) está preparada para escalar con la demanda de agosto, cuando la norma entre en vigencia simultáneamente para todo el mercado? Tercero, ¿los contratos con proveedores de biometría o MFA establecen SLAs alineados con los requisitos de disponibilidad que exige la CMF?

Esta regulación es también una oportunidad para revisar la estrategia de identidad más allá del cumplimiento puntual. En un sector donde la IA genera vulnerabilidades que eluden el 2FA, el piso regulatorio de la NCG 538 es exactamente eso: un piso, no un techo. Y en un ecosistema donde el fraude digital se ha industrializado, las instituciones que solo corran a cumplir el mínimo estarán rezagadas antes de que termine el año.

El 1 de agosto llegará. La pregunta es si llegará con los sistemas listos o con el equipo jurídico redactando un plan de acción.

Fuente: CMF Chile — https://www.cmfchile.cl/normativa/ncg_538_2025.pdf

La entrada Autenticación reforzada CMF: el 1 de agosto no espera se publicó primero en ZonaCISO.

El Ejecutivo había propuesto a Joselyn Biermann, Roberto Godoy y Matías Larraguibel para integrar el consejo por 6, 4 y 2 años respectivamente. La Sala votó y los números no dieron: la agencia que debe fiscalizar el cumplimiento de la nueva ley de datos personales en Chile sigue sin cabeza a días del plazo legal.

Plazo que ya venció

La normativa que crea la agencia establece que su consejo debe estar constituido seis meses antes de la entrada en vigencia de la ley, fijada para diciembre de 2026. Ese plazo se cumple a fines de mayo, es decir, prácticamente ahora. En sesión, varios senadores plantearon la urgencia de resolver la situación: o se presenta una nueva terna, o se adecúa la normativa para ganar tiempo.

El presidente de la Comisión de Constitución, senador Pedro Araya, explicó que las comisiones unidas debieron además definir el quórum aplicable, porque la ley que crea la agencia exige 2/3, pero técnicamente no rige hasta diciembre. Por mayoría, las comisiones resolvieron que el umbral exigido es, de todas formas, dos tercios. En la Sala, ese umbral tampoco se alcanzó.

Tropiezos desde el inicio

El trámite arrastró dificultades desde el comienzo. Las comisiones unidas de Constitución y Economía tuvieron que sesionar dos veces: en la primera instancia se produjo un doble empate al evaluar si los candidatos cumplían los requisitos legales. Solo en la segunda sesión hubo mayoría para establecer que los tres profesionales satisfacían las exigencias y no presentaban inhabilidades ni incompatibilidades.

El ministro de la Secretaría General de la Presidencia, José García, advirtió durante esa segunda sesión de comisiones que conformar una terna válida es excepcionalmente difícil: la ley exige dedicación exclusiva al cargo y establece una larga lista de incompatibilidades que limita drásticamente el universo de candidatos posibles.

Lo que está en juego para las empresas

La Ley 21.719 de Protección de Datos Personales, promulgada en diciembre de 2024, moderniza el marco regulatorio chileno y tiene una vacancia de dos años. Para las empresas que operan en Chile —y que llevan meses trabajando en sus procesos de adecuación—, contar con una agencia operativa con autoridades designadas es fundamental: sin regulador, los criterios de fiscalización siguen sin definirse.

El rechazo senatorial tensiona el calendario de implementación. Con el plazo de mayo ya encima y el Congreso sin fecha para resolver, las organizaciones chilenas avanzan hacia el cumplimiento de una ley cuyo organismo fiscalizador aún no tiene directivos. El Senado deberá decidir en los próximos días si el Ejecutivo presenta una nueva propuesta o si se modifica la normativa para extender el plazo. Cualquiera de las dos salidas requiere velocidad.

Fuente: Senado de Chile — https://www.senado.cl/comunicaciones/noticias/desestiman-propuesta-de-consejeros-para-la-agencia-de-proteccion-de-datos

La entrada Chile sin regulador de datos: Senado rechaza terna presidencial se publicó primero en ZonaCISO.

Si miramos el calendario, el 1 de diciembre de 2026 podría parecer una fecha lejana, pero en tiempos de transformación digital y adecuación normativa, diez meses es apenas un suspiro. Ese día marca el inicio de la plena vigencia y fiscalización de la nueva Ley de Protección de Datos Personales N° 21.719, un hito que cambiará la forma en la que las organizaciones gestionan su activo más crítico, la información de las personas.

Durante el último año, hemos visto a muchas empresas en etapa de diagnóstico, analizando brechas y revisando cláusulas. Sin embargo, es momento de pasar de las evaluaciones preliminares a la acción concreta. Con la reciente publicación de la Ley N° 21.806 en el Diario Oficial, se confirma que la instalación del Consejo de la Agencia se adelantará para junio de este año. Este hecho nos entrega una certeza fundamental, el regulador estará constituido y operativo meses antes de que se active el régimen sancionatorio. Más que una señal de alerta, debemos leer esto como una ventaja estratégica que nos permite ajustar nuestros procesos con una institucionalidad ya definida, facilitando una transición ordenada hacia el cumplimiento en diciembre.

El error más común que observamos es tratar esta ley como un checklist puramente legal. Si bien los contratos y el consentimiento son la base, el desafío está en el terreno tecnológico y operativo. Un contrato perfecto no evitará una sanción si la organización no tiene la capacidad técnica para encontrar, borrar o portar los datos de un cliente cuando este lo solicite.

Aquí es donde la tecnología se convierte en el gran habilitador del cumplimiento. Para lograrlo, las organizaciones deben resolver tres desafíos prácticos:

Primero, la visibilidad. No se puede proteger lo que no se ve. Implementar herramientas automatizadas de data discovery es el punto de partida para saber dónde residen los datos personales, especialmente en entornos de nube híbrida y sistemas legados.

Segundo, la orquestación de la respuesta. Una cosa es saber dónde está el dato y otra es tener la capacidad técnica de intervenirlo. El desafío radica en ejecutar acciones como la supresión o el bloqueo en sistemas interconectados que no fueron diseñados para olvidar. Intentar eliminar registros manualmente en múltiples bases de datos no solo es ineficiente, sino que pone en riesgo la integridad operativa del negocio al romper la trazabilidad de la información.

Y, en tercer lugar, la gobernanza efectiva. No basta con designar a un Delegado de Protección de Datos (DPO) para cumplir con la norma. Se requiere instaurar una estructura de gobierno sólida, donde este rol cuente con la autoridad, los recursos y los procesos transversales necesarios para orquestar una estrategia que vincule la seguridad de la información con la privacidad legal en toda la organización.

El mensaje para la alta dirección es claro, la adecuación a esta ley no es una carga regulatoria, sino un estándar de higiene digital. Las empresas que lleguen a diciembre con una cultura de privacidad arraigada y una capacidad de respuesta probada, no solo habrán mitigado significativamente su riesgo financiero y reputacional, sino que habrán construido un activo intangible mucho más valioso: la confianza digital.

La cuenta regresiva ha comenzado. El éxito dependerá de nuestra capacidad para dejar atrás la teoría y acelerar, hoy mismo, hacia una ejecución práctica y eficiente.

La entrada 2026 y protección de datos: cuando la teoría deja de ser suficiente se publicó primero en ZonaCISO.

La plataforma fue diseñada como una herramienta preventiva, orientada a que las personas puedan identificar de forma temprana la posible exposición de sus datos personales y tomar medidas para reducir riesgos asociados a fraudes, accesos no autorizados o suplantación de identidad.

Desde la ANCI explican que la información utilizada por Ciberlupa proviene de un seguimiento continuo a fuentes donde suelen circular bases de datos filtradas, muchas de ellas utilizadas para la compraventa o difusión de información robada. El servicio no almacena directamente estos datos, sino que indica únicamente si un correo electrónico estuvo o no presente en las filtraciones que la Agencia mantiene bajo observación.

Protección de la privacidad y autenticación obligatoria

Uno de los aspectos clave del funcionamiento de Ciberlupa es la obligatoriedad de autenticación para realizar consultas. Este requisito, según la ANCI, busca proteger la privacidad de las personas y evitar que terceros puedan acceder a información sensible con fines maliciosos.

El sistema está diseñado para mostrar los resultados exclusivamente a la persona titular del correo electrónico consultado, sin exponer detalles adicionales que puedan ser utilizados por atacantes para ampliar el daño o facilitar nuevos abusos.

Además, la Agencia señala que su base de datos fue construida bajo criterios de seguridad y confidencialidad, de modo que incluso en el improbable caso de una filtración del sistema, no represente un riesgo adicional para los usuarios.

¿Qué significa que mis datos aparezcan en una filtración?

Que un correo electrónico figure en una filtración no implica necesariamente un riesgo inmediato, pero sí constituye una señal de alerta. Muchas brechas se originan en servicios que no aplicaron medidas de seguridad adecuadas, permitiendo que atacantes accedan a credenciales y datos personales de sus usuarios.

Otra fuente frecuente de filtraciones corresponde al uso de equipos infectados con malware del tipo infostealer, aplicaciones diseñadas para capturar nombres de usuario, contraseñas y otra información sensible. Estos datos suelen agruparse en grandes volúmenes y venderse posteriormente en la dark web o, en algunos casos, publicarse para ganar visibilidad o reputación dentro de comunidades criminales.

La ANCI también advierte que no todas las filtraciones contienen información real o actualizada. Es común que datos antiguos se mezclen con pocos registros nuevos y se presenten como grandes brechas, por lo que la aparición de un correo en Ciberlupa no significa necesariamente que una cuenta esté comprometida en el presente.

Qué hacer si tus datos aparecen en Ciberlupa

Ante un resultado positivo, la recomendación es actuar con rapidez y criterio:

• Revisar la información asociada al correo electrónico consultado.
• Verificar si las cuentas afectadas siguen activas, especialmente en servicios críticos como banca, correo electrónico o plataformas laborales.
• Cambiar inmediatamente la contraseña desde el sitio oficial del servicio correspondiente.
• Actualizar también las contraseñas en otros servicios donde se haya reutilizado la misma clave.
• Activar la autenticación multifactor siempre que esté disponible.
• Si el segundo factor depende del correo electrónico, cambiar también la contraseña de la cuenta de email.

Un desarrollo con base académica

Ciberlupa está basado en la memoria de título “Sistema de Verificación de Filtraciones de Datos Orientado a Usuarios Chilenos”, desarrollada por Nicolás Santibañez en la Universidad de Chile, y representa un esfuerzo por acercar capacidades técnicas de ciberseguridad al uso cotidiano de las personas, en un contexto de aumento sostenido de filtraciones y abuso de datos personales.

Nota de la redacción:
Al momento de publicarse este artículo, la plataforma Ciberlupa presenta intermitencias y mensajes de error asociados a un alto volumen de consultas simultáneas. Desde la Agencia Nacional de Ciberseguridad indicaron que el servicio se encuentra operativo, aunque con alta demanda, y recomendaron intentar el acceso nuevamente en caso de no poder completar la verificación.

La entrada Ciberlupa: ANCI lanza buscador de filtraciones se publicó primero en ZonaCISO.

Durante la actividad se destacó que la creación y puesta en marcha de la ANCI es el resultado de más de una década de trabajo sostenido, iniciado en 2015 con la creación del Comité Interministerial sobre Ciberseguridad y la posterior aprobación de la primera Política Nacional de Ciberseguridad (2017-2022), continuada por gobiernos sucesivos como una política transversal de Estado.

Sistema nacional de reporte de incidentes

Uno de los principales hitos del año fue la implementación del Portal de Reporte de Incidentes, obligatorio para el reporte de incidentes significativos de todos los sujetos obligados por la ley. La plataforma, desarrollada bajo altos estándares de seguridad y con ingreso a través de Clave Única con doble factor de autenticación, permite reportar incidentes de forma simple y confiable, considerando los distintos niveles de madurez digital de las organizaciones.

Al término del año, 3.258 instituciones se encuentran inscritas en la plataforma y se han recibido más de 400 reportes de incidentes, lo que por primera vez permite contar con una visión integral del riesgo cibernético del país.

Gracias a los avances de estos años, Chile fue destacado como el país número uno de América Latina y el Caribe en el Informe de Ciberseguridad 2025 del Banco Interamericano de Desarrollo (BID) y la OEA, y además ingresó al top 20 mundial del ranking NCSI, posicionándose en el lugar 19 a nivel global.

Operadores de Importancia Vital

Otro eje central del año fue el proceso de calificación de Operadores de Importancia Vital (OIV). Tras un proceso de más de seis meses, se publicó el primer listado oficial en el Diario Oficial, que identifica a 915 organizaciones públicas y privadas pertenecientes a sectores críticos como energía, telecomunicaciones, servicios digitales, sector financiero, salud y administración del Estado.

Para apoyar este proceso, durante diciembre, la Agencia emitió instrucciones generales, regulando la designación de delegados de ciberseguridad y las medidas mínimas para reducir el impacto y propagación de incidentes.

Para conocer más sobre qué son los Operadores de Importancia Vital (OIV) y cuáles son sus obligaciones bajo la Ley Marco de Ciberseguridad, revisa el artículo ANCI publica nómina de OIV en el marco de la Ley de Ciberseguridad.

Formación, cultura y ciudadanía

En materia de difusión y formación, la ANCI impactó directamente a más de 26 mil personas a través de charlas, seminarios y cursos presenciales y virtuales. Destaca el curso abierto y certificado sobre phishing y fraude digital, así como el anuncio de un nuevo curso gratuito y certificado sobre respuesta a incidentes, que será lanzado en enero.

Además, profesionales de la Agencia realizaron charlas educativas en establecimientos escolares, alcanzando a más de 1.150 niños, niñas y adolescentes, y se avanzó en el diseño de un programa de estudios en ciberseguridad para la educación media técnico-profesional, abordando la brecha de capital humano en el país.

Cooperación internacional y desafíos futuros

Durante su primer año, la ANCI fortaleció la cooperación internacional, liderando proyectos regionales con apoyo de la Unión Europea y firmando convenios con instituciones de referencia mundial, además de estrechar vínculos con países aliados.

Este primer balance anual da cuenta de un inicio sólido en la construcción de una institucionalidad moderna, técnica y al servicio de Chile, con la ciberseguridad como un bien público esencial.

Revisa el artículo completo aquí.

La entrada ANCI presenta su primer balance anual se publicó primero en ZonaCISO.

Los desafíos asociados al cumplimiento de la Ley Marco de Ciberseguridad son considerables. En Chile, las organizaciones muestran avances graduales, aunque dispares, condicionados por la falta de claridad y por un entorno de amenazas sofisticadas que crecen en paralelo al desarrollo regulatorio.

“La Ley N° 21.663 establece un marco regulatorio para fortalecer la ciberseguridad del país, asegurando la confidencialidad, integridad y disponibilidad de la información y los sistemas informáticos, tanto en organismos del Estado como en instituciones privadas que prestan servicios esenciales o que son consideradas de importancia vital”, explica Jimmy Ulloa, CyberSecurity Architect Andina de Coasin Logicalis.

Con la Ley ya vigente y la Agencia Nacional de Ciberseguridad (ANCI) operativa, las instituciones que prestan servicios esenciales y las Operadoras de Importancia Vital (OIV) quedan sujetas a calificación y fiscalización, deben implementar sistemas de gestión, planes y auditorías de continuidad, y reportar incidentes significativos al CSIRT Nacional (alerta en 3 horas, actualización en 72 horas 24 horas si un OIV ve afectada la prestación y reporte final en 15 días); el incumplimiento se sanciona con multas cuando se trate de OIV.

“Según esta categorización, no todas las compañías tienen un sistema de gestión de seguridad y privacidad de la información apto para lo que exige la nueva ley. Aunque existen sectores como la banca que están bien preparados, en la minería falta mucho aún debido a la división TI y OT, por ejemplo”, declara Ulloa.

Estas dificultades para cumplir la ley se ven agravadas por la falta de recursos claramente definidos y por la ausencia de una estrategia y una cultura de ciberseguridad consolidadas, lo que provoca que muchas personas se sientan ajenas a esta materia. “Las organizaciones suelen creer que, al no tener un rol ‘significativo’ o ‘visible’ en los medios, están exentas de sufrir ataques. Esto es un error, ya que los atacantes pueden apuntar a cualquier organización para infiltrarse y cometer delitos cibernéticos”, señala Ulloa. 

Madurez, gobernanza y cumplimiento en ciberseguridad

El cibercrimen evoluciona de forma constante, por lo que la ciberseguridad debe entenderse como un proceso continuo. Gestionar, revisar y validar la efectividad de los controles, junto con asegurar monitoreo y visibilidad, requiere recursos y una estrategia clara. Si bien los sistemas de las organizaciones estatales han mostrado avances, el desafío sigue siendo permanente.

“Más allá de presupuestos, se necesitan líderes y una cultura digital basada en un modelo de gobernanza claro y con una mirada integral. Cuando se trabaja en silos y sin capacitación, la efectividad de los ciberataques es casi inevitable”, señala Ulloa.

Ante este escenario, acelerar la madurez en ciberseguridad resulta clave, especialmente considerando el impacto que tendrá la inteligencia artificial en los próximos años. En este contexto, la asesoría especializada cobra relevancia. “Hoy en día hay que contar con soluciones de ciberseguridad que fortalezcan la postura frente a amenazas mediante una asesoría integral que combine prevención, detección y respuesta temprana, junto con un enfoque estratégico orientado al cumplimiento normativo y alineado con la nueva Ley Marco de Ciberseguridad”, sentencia Ulloa.

Esto es especialmente relevante para los Operadores de Importancia Vital (OIVs), ya que les permite cumplir con los más altos estándares de seguridad de manera eficiente, sin generar un impacto económico desproporcionado. La presión regulatoria, junto con amenazas cada vez más sofisticadas, seguirá impulsando la adopción de estándares, el fortalecimiento de la gobernanza y el desarrollo de una cultura de ciberseguridad transversal.

La entrada Ciberseguridad en Chile: “No todas las compañías están listas para cumplir la ley” se publicó primero en ZonaCISO.

El convenio fue suscrito por el director nacional de la ANCI, Daniel Álvarez Valenzuela, y la directora interina de la Corporación Administrativa del Poder Judicial (CAPJ), Andreina Olmo Marchetti. La actividad contó además con la presencia de la ministra de la Corte Suprema, María Cristina Gajardo; la subdirectora nacional de la ANCI, Michelle Bordachar; y el contralor interino de la CAPJ, Humberto Canessa.

Tras la firma, el director nacional de la ANCI destacó que este acuerdo formaliza y refuerza un trabajo que ambas instituciones vienen desarrollando desde hace años, contribuyendo a fortalecer la ciberseguridad, la modernización del Estado y la generación de entornos digitales más confiables para el servicio que presta el Poder Judicial.

Por su parte, el subdirector interino de la CAPJ y encargado de la mesa de seguridad, Alex Saravia, señaló que el convenio refleja un trabajo mancomunado sostenido en el tiempo con la ANCI, el cual ha permitido fortalecerlos niveles de ciberseguridad de la institución.

El acuerdo busca consolidar la cooperación entre ambas entidades en materias de ciberseguridad, en un contexto de creciente digitalización de los servicios judiciales y de fortalecimiento de las capacidades del Estado en esta materia.

La entrada ANCI y el Poder Judicial firman acuerdo de colaboración se publicó primero en ZonaCISO.