Santiago, 1 de marzo de 2024 – Chile avanza en la consolidación de su estrategia de ciberseguridad con la implementación de la Ley N° 21.663, que establece un marco normativo para la protección de infraestructuras críticas y servicios esenciales. En este contexto, la Agencia Nacional de Ciberseguridad (ANCI) ha reforzado la obligación de reportar incidentes de ciberseguridad, estableciendo procedimientos claros y una nueva taxonomía de incidentes para mejorar la detección y respuesta ante ataques informáticos.
Obligación de Reportar: Un Pilar para la Seguridad Digital
A partir de hoy 1 de marzo, todas las instituciones públicas y privadas que brinden servicios esenciales o sean consideradas operadores de importancia vital deberán reportar cualquier incidente de ciberseguridad con impacto significativo.
Para ello, se ha habilitado el portal oficial de la ANCI (https://portal.anci.gob.cl), operativo las 24 horas del día, los 365 días del año. Adicionalmente, se mantendrán operativos los canales disponibles para reportar y comunicarse con la ANCI en caso de contingencia al teléfono 1510 o al correo electrónico ayuda@anci.gob.cl.
El objetivo de esta medida es garantizar una respuesta rápida y efectiva ante amenazas digitales, permitiendo a las autoridades coordinar acciones para mitigar los riesgos y evitar daños mayores. Además, el incumplimiento de esta normativa podría acarrear sanciones, dado el impacto que un ciberataque puede tener en la seguridad nacional y en los datos de los ciudadanos.
Nueva Taxonomía de Incidentes
Para estandarizar la gestión de incidentes, la ANCI ha establecido una taxonomía oficial que clasifica los incidentes en cuatro áreas de impacto y once efectos observables, facilitando su identificación y respuesta.
Publicada el 1 de marzo de 2025 en el Diario Oficial de la República de Chile, establece la Taxonomía de Incidentes de Ciberseguridad, clasificándolos en cuatro áreas de impacto y once efectos observables:
A. Impacto en el uso legítimo de recursos
- Uso no autorizado de redes y sistemas (explotación de vulnerabilidades, uso de credenciales robadas, acceso a almacenamiento en la nube).
- Phishing o fraude en infraestructura propia (uso de servidores internos para enviar phishing o almacenar sitios fraudulentos).
- Phishing o fraude relacionado con la institución (uso de la identidad de la institución por terceros para estafas).
- Ejecución no autorizada de código (inyección de código malicioso en los sistemas).
B. Impacto en la confidencialidad de la información
- Exfiltración y/o exposición de datos (filtración de información confidencial, credenciales, bases de datos expuestas).
- Exposición de configuraciones (errores en la protección de configuraciones críticas).
- Exposición de código fuente (divulgación no autorizada del código fuente de aplicaciones).
C. Impacto en la disponibilidad de servicios esenciales
- Indisponibilidad y/o denegación de servicio (DoS/DDoS) (ataques que bloquean el acceso a sistemas o servicios).
- Degradación de servicio (afectación parcial del rendimiento por sobrecarga o uso indebido de recursos, como cryptojacking).
D. Impacto en la integridad de la información
- Modificación no autorizada de datos (alteraciones en bases de datos, defacement de sitios web, manipulación de registros de auditoría).
- Manipulación no autorizada de configuraciones (cambios en reglas de firewall, desactivación de registros de seguridad, modificaciones de políticas de acceso).
Servicios esenciales
Mientras la ANCI define los OIV, quienes tendrán la obligación de reportar son los siguientes servicios establecidos como esenciales por la Ley Marco de Ciberseguridad:
- Organismos de la Administración del Estado
- Empresas pública creada por ley
- Sociedades donde el Estado tiene participación accionaria superior al 50%
- Sociedades donde el Estado tiene mayoría en el directorio
- Coordinador Eléctrico Nacional
- Concesionarios de servicios públicos
- Prestadores de servicios de generación eléctrica
- Prestadores de servicios de transmisión eléctrica
- Prestadores de servicios de distribución eléctrica
- Prestadores de servicios de transporte de combustibles
- Prestadores de servicios de almacenamiento de combustibles
- Prestadores de servicios de distribución de combustibles
- Prestadores de servicios de suministro de agua potable
- Prestadores de servicios de saneamiento o tratamiento de aguas servidas
- Prestadores de servicios de telecomunicaciones
- Prestadores de servicios de infraestructura digital
- Prestadores de servicios digitales
- Prestadores de servicios de tecnología de la información gestionados por terceros
- Prestadores de servicios de transporte terrestre
- Prestadores de servicios de operación de infraestructura de transporte terrestre
- Prestadores de servicios de transporte aéreo
- Prestadores de servicios de operación de infraestructura de transporte aéreo
- Prestadores de servicios de transporte ferroviario
- Prestadores de servicios de operación de infraestructura de transporte ferroviario
- Prestadores de servicios de transporte marítimo
- Prestadores de servicios de operación de infraestructura de transporte marítimo
- Prestadores de servicios bancarios
- Prestadores de servicios financieros
- Prestadores de servicios de medios de pago
- Prestadores de servicios de administración de seguridad social (incluye AFP, AFC, ISAPRES, Mutualidad de Empleadores).
- Prestadores de servicios de postales
- Prestadores de servicios de mensajería
- Prestadores institucional de servicios de salud
- Prestadores de servicios de producción de productos farmacéuticos
- Prestadores de servicios de investigación de productos farmacéuticos